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了 路 


近 几 年 开源 技术 快速 发 展 ， 在 云 计 算 、 大 数据 ， 人 工 智能 等 领域 
逐渐 形成 技术 主流 , 开源 技术 已 经 成 为 企业 构建 信息 系统 的 重要 选择 ， 
内 企业 参与 开源 生态 的 热情 度 持续 提升 

本 白皮书 是 中 国信 息 通 信 研 究 院 在 开源 领域 发 布 的 白皮书 ,分 析 
国内 外 开源 生态 发 展现 状 ， 梳 理 当前 发 展 热 扣 ， 展 望 未 来 发 展 趋势 。 
白皮书 首先 介绍 了 开源 生态 发 展 概况 , 重点 围绕 开源 布局 .开源 运营 、 
开源 治理 、 开 源 风 险 、 行 业 开 源 等 开源 领域 热点 话题 进行 探讨 ， 最 后 
对 开源 生态 未 来 发 展 进行 了 展望 ， 
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一 、 开 源 生 态 概 述 


〈 一 ) 开源 概念 逐渐 明晰 

开源 既是 一 种 协作 模式 ， 也 是 一 种 特性 的 产品 。 开 深 形 态 最 旱 出 
现 于 上 世纪 六 十 年 代 ， 软 件 代码 附属 硬件 产品 以 开源 的 形式 分 发 。 
1983 年 ，Richard Matthew Stallman 发 起 GNU 计划 ， 推 动 自 由 软件 概 
念 ,成 为 开源 软件 早期 形态 .开源 软件 明确 定义 由 1998 年 OSI 给 出 ， 
包括 十 大 特性 ， 即 自由 再 发 布 、 源 代码 公开 、 人 允许 派生 作品 、 作 者 源 
代码 完整 性 、 不 能 歧视 任何 个 人 或 园 体 、 不 能 歧视 任何 领域 、 许 可 证 
的 发 布 、 许 可 证 不 能 只 针对 某 个 产品 、 许 可 证 不 能 约束 其 他 软件 、 许 
可 证 必须 独立 于 技术 。 

从 过 程 维 度 看 ， 开 源 是 一 种 分 布 式 协作 模式 ， 从 结果 维度 看 ， 开 
源 是 一 种 特定 形态 的 产品 ,具有 公开 、 可 使 用 、 可 修改 、 可 分 发 特点 。 
开源 软件 比 自 有 软件 更 宽松 ， 开 源 软 件 与 免费 软件 无 直接 对 应 关系 ， 
公开 代码 不 一 定 和 二 二 修 件 . 


自由 软件 
| 免费 软件 


图 1 开源 软件 与 自由 软件 、 免 费 软件 的 关系 
开源 生产 模式 逐渐 成 为 新 一 代 软 件 开发 模式 。 随 着 产业 数字 化 发 
展 ， 信 息 技 术 需 要 满足 业务 场景 发 展 需求 ， 具 有 海量 数据 处 理 能 力 ， 
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快速 上 线 和 迭代 特点 ， 多 场景 异 构 兼容 性 ， 传 绕 软件 封闭 开发 模式 在 创 
新 度 、 和 迭代 速度 上 均 存 在 一 定 限 制 。 开 源 开 发 模式 具有 公开 透明 的 特 
所 ， 有 效 聚 集 优质 开发 人 员 ， 形 成 分 布 式 协作 ， 推 动产 部 快速 迭代 ， 
同时 丰富 企业 商业 模式 ， 优 进 科技 公司 良性 竞争 。 


《二 ) 开源 生态 以 开源 项 目 为 中 心 构建 

开源 生态 以 开源 项 目 为 中 心 构建 ， 依 托 开 源 社 区 协作 形成 软件 、 
硬件 等 开源 项 目 。 涉 及 开源 贡献 者 、 开 源 使 用 者 。 开源 运营 者 、 开 源 
服务 者 多 重 角色 ， 包 含 开源 治理 、 开 源 运 营 、 开 源 商业 布局 等 多 个 环 
节 ， 需 要 满足 开源 规则 要 求 ， 依 托 代码 托管 平台 等 基础 设施 构建 . 

微观 层面 开源 生态 依托 四 大 角色 进行 有 效 协 作 。 开源 生态 涉及 开 
源 贡 献 者 、 开 源 使 用 者 、 开 源 运 营 者 、 开 源 服 务 者 等 多 个 角色 ， 企 业 
和 个 人 均 可 参与 。 开 源 贡 献 者 主要 最 初 贡献 开源 项 目的 企业 或 个 人 ， 
目前 以 科技 公司 贡献 为 主 ; 开源 使 用 者 指 开源 的 使 用 主体 ,涉及 范围 
广泛 ; 开源 运营 者 主要 指 促进 开源 协作 的 主体 ,开源 基 金 会 项 目 托管 

一 种 成 熟 的 开源 运营 模式 ; 开源 服务 者 指 基于 开源 提供 商业 产品 或 
服务 的 企业 。 对 于 开源 贡献 者 和 开源 服务 者 ,开源 是 实现 商业 布局 的 
一 种 途径 ， 可 将 开源 布局 与 商业 产品 布局 进行 有 效 结合 ， 推 动用 户 使 
用 ， 在 应 用 层面 有 效 降低 边界 成 本 ， 扩 大 用 户 使 用 范围 。 对 于 开源 使 
用 者 ， 开 源 模 式 推动 产品 快速 迭代 ， 激 发 产品 创新 ， 丰 富 产业 侧 供应 
体系 ， 建 立 用 户 需 求 联动 机 制 。 

宏观 层面 开源 生态 涉及 开源 运营 、 开 源 治理 、 开 源 商 业 布局 、 开 
源 规则 、 基 础 设施 等 多 个 要 素 。 开 源 运 营 推 动 开发 者 持续 贡献 开源 项 
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目 ， 推 动 开 源 项 目 在 产业 用 户 中 的 使 用 ; 开源 治理 是 针对 开源 引入 过 

、 自 发 开源 过 程 、 开 源 社 区 维护 等 方面 的 一 套 流 程 体系 ， 是 推动 开 
源 生态 良性 发 展 的 有 效 手段 ; 开源 商业 布局 是 将 开源 与 自身 商业 模式 
进行 有 效 结合 ， 实 现 商 业 转 换 的 过 程 ; 开源 规则 包括 法 律 环境 、 开 源 
社区 规定 、 开 源 许 可 证 等 ， 明 确 开源 使 用 分 发 的 权利 义务 ; 开源 基础 
设施 包括 开源 代码 托管 平台 、 社 区 网 站 等 ， 支 撑 开 源 协 作 . 


开源 规则 开 
SEE 一 人 LT- 请 源 
开源 许可 证 社区 管理 规定 法 律 法 规 政策 环境 贡 
让 
口 EiNux [人 SS 到 
囊 ] openstakk 证 全 十 = 泥 
笛 理 社 
过 区 
上 治 
开源 贡献 者 理 
浊 源 
商 ss 
业 源 
布 使 
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图 2 开源 生态 架构 图 


二 、 开 产生 态 发 展现 状 


一) 开源 数量 持续 攀升 ， 我 国 开源 履 盖 全 栈 技术 领 
域 
全 球 开 源 项 目 数量 呈 指 数 级 增长 。 根 据 全 球 最 大 开源 代码 托管 平 
全 GitHub 年 度 报告 数据 显示 ， 截 至 2019 年 GitHub 托 管 仓库 已 有 1.4 亿 ， 
2019 年 新 增 仓 库 4400 万 个 ,创建 第 一 个 项 目的 用 户 比 2018 年 增加 44%， 
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130 万 开发 者 对 开源 做 出 首次 贡献 。SourceClear 调 查 报 告 指出 开源 项 
目 己 呈现 指数 级 增长 趋势 ，2026 年 预计 超过 3 亿 .。 
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图 3 全 球 开源 项 目 数 量 增长 趋势 
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数据 来 源 : GitHub，2019 年 11 月 
图 4 GitHub 近 三 年 开源 项 目 数量 及 增长 率 
活跃 开源 项 目 集中 在 新 兴 技 术 领 域 。2019 年 GitHub 代 码 仓库 中 ， 


人 工 智能 、 云 计算 等 新 技术 领域 开源 项 目 关注 度 较 高 ,微软 的 源码 编 
辑 器 VSCode、 机 器 学 习 文 档 Azure Docs 是 2019 年 GitHub 上 和 贡献 者 最 多 
的 开源 项 目 ， 其 次 是 谷歌 的 机 器 学 习 平 台 TensorFlow、 容 器 编排 平台 


Kubernetes 和 Facebook 的 移动 应 用 开发 框架 React Native 框 架 。 
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目 贡 献 者 数量 〈k) 


数据 来 源 : GitHub，2019 年 11 月 
图 $ 全 球 开 源 项 目 贡 献 者 数量 


我 国 自发 开源 项 目 履 盖 全 栈 技术 领域 。 我 国 自发 开源 项 目 涵 盖 底 
层 操 作 系统 、 物 联网 操作 系统 和 编译 器 ， 中 间 层 边缘 计算 、 容 器 、 中 
间 件 、 微 服务 、 数 据 库 和 大 数据 , 十 层 前 端 开发 、 移 动 开 发 和 UI 框 架 ， 
另外 还 有 人 工 智能 领域 、 运 维和 其 他 热门 开源 项 目 ， 基 本 覆盖 目前 主 
要 的 技术 领域 ,接近 30 个 的 开源 项 目 已 经 捐赠 给 开源 基金 会 ,走向 国 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 6 月 
备注 : 红 框 代 表 开 源 项 目 捐赠 给 开源 基金 会 
图 6 中 国 自 发 开源 项 目 分 布地 图 
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《二 ) 开源 占据 各 领域 主要 市 场 份 额 ， 我 国 开源 应 用 

逐年 攀升 

全 球 基础 软件 领域 ， 开 源 占 据 主 要 市 场 份额 。 基 础 软件 主要 包括 
操作 系统 ， 数 据 库 和 中 间 件 ， 操 作 系统 可 以 细 分 为 PC 操作 系统 、 手 
机 操作 系统 、 物 联网 操作 系统 、 超 级 电脑 操作 系统 等 ， 根 据 Linux 年 
度 报告 ,在 操作 系统 领域 , Linux 分 别 占据 100% 的 超级 计算 机 市 场 和 
829%6 的 智能 手机 市 场 ， 桌 面 操作 系统 市 场 排名 第 二 ; 数据库 可 以 分 为 
关系 型 数据 库 与 非 关系 性 数据 库 , 非 关 系 型 性 数据 库 又 可 以 细 分 为 文 
档 型 数据 库 、 图 数据 库 、 时 序数 据 库 、K-V 存储 数据 库 等 ， 根 据 DB- 
Engines 数据 显示 ,截至 2020 年 9 月 全 球 开 源 数 据 库 182 个 ， 已 超过 
商业 数据 库 176 个 ; 中 间 件 可 以 按照 功能 分 为 消息 中 间 件 、 事 务 中 辣 
件 与 远程 过 程 调用 (RPC ) 中 间 件 ,根据 enlyft 数据 显示 , Apache Kafka 
占据 应 用 集成 领域 16.5% 市 场 份额 ， 同 类 型 竞 品 中 排名 第 一 ，Seata、 


Dubbo 也 分 别 在 事务 中 间 件 与 RPC 领域 占据 领先 地 位 。 
表 1 数据 库 市 场 情 况 






























































名 称 领域 内 排名 全 市 场 排名 
关系 型 数 | MySQL 2 2 
据 库 〈 开 | PostgreSQL 4 4 
源 吉 比 Sqlite 7 10 
39.5%46 ) 
非 关 项 型 文档 型 数据 库 (开源 点 比 80%6 ) 
数据 库 MongoDB 1 5 
Couchbase 3 20+ 
图 数据 库 〈 开 源 点 比 68.4% ) 
Neo4j 1 20+ 
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OrientDB 3 20+ 
时 序数 据 库 (开源 点 比 80.79% ) 
InfluxDB 1 20+ 
Prometheus 3 20+ 
K-V 存储 数据 库 (开源 点 比 72.296) 
Redis 1 8 
memcached 4 20 二 




















来 源 : DB-Engines ,2020 年 3 月 





_ 数据 来 源 : 人 Pines， 2020 年 9 月 
图 7 开源 数据 库 增长 趋势 


ww 





aa Apache Kafka (16.49%) aBizTalk Server (13.52%) 
|BM Websphere MQ (12.88%) aoOracle Fusion Middleware (9.23%) 


a View all other top products 


数据 来 源 : enlyft，2020 年 8 月 
图 8 Kafka 市 场 份 额 


全 球 新 兴 技 术 领 域 ， 开 源 成 为 主要 技术 路 径 。 云 计算 领域 涉及 虚 
拟 化 、 虚 拟 化 管理 等 多 个 技术 ， 以 容器 为 代表 的 云 原生 技术 路 径 是 未 
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来 云 计算 发 展 趋势 ， 根 据 CNCEF 调查 报告 ，2019 年 84% 的 公司 在 生 
产 中 使 用 容器 ， 其 中 78% 的 用 户 使 用 Kubernetes 进行 容器 集群 管理 ; 
大 数据 领域 ， 大 数据 采集 、 大 数据 预 处 理 、 大 数据 存储 及 管理 、 大 数 
据 分 析 及 挖掘 、 大 数据 展现 和 应 用 等 关键 技术 ，Hadoop 是 大 数据 存 
储 与 管理 的 主要 技术 ， 根 据 QYResearch 调查 显示 ， 到 2025 年 全 球 
Hadoop 市 场 预计 将 达到 6708 亿美 元 ,2017-2025 年 年 均 增 长 65.6%， 
亚马逊 EMR .谷歌 Dataproc、 阿里 云 E-MapReduce 和 AzureHDInsight 
均 选 择 基 于 Hadoop 构建 ; 人 工 智能 领域 涉及 机 器 学 习 、 知 识 图谱 、 
自然 语言 处 理 、 人 机 交互 、 计 算 机 视 党 、 生 物 特 征 识别 、AR/VR 等 技 
术 , 其 中 机 器 学 习 框架 是 关键 技术 , TensorElow 拥有 8 万 多 Fork 数 ， 
位 居 同 类 型 产品 排名 第 一 ，Caffe 和 eras 在 学 术 界 和 工业 界 应 用 广 
泛 ， 三 者 稳 居 深度 学 习 库 角 区 名 . 

我 国 开源 软件 应 用 比例 略 有 提升 。 根据 信 通 院 调查 显 示 , 2019 年 
我 国企 业已 经 使 用 开源 技术 的 企业 点 比 为 87.4%, 比 去 年 增长 0.7%6， 
暂 未 计划 使 用 开源 技术 的 企业 占 比 为 2.3%， 比 去 年 降低 0.4%， 我 国 
企业 对 开源 技术 的 接受 程度 较 高 ， 使 用 开源 技术 已 成 主流 。 


2.79% 


2018 年 86.7% 10.6% 


2.39% 


2019 年 87.4% 10.39% 


梧 已 经 使 用 司 有 计划 使 用 暂时 没有 计划 使 用 
数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 9 我 国企 业 开 源 软 件 使 用 情况 
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节约 成 本 ， 大 大 缩短 应 用 部 署 时间 , 成 为 我 国企 业 选 择 使 用 开源 
技术 最 主要 的 原因 。 有 50.8% 的 开源 用 户 企业 认为 使 用 开源 技术 可 以 
节约 成 本 ， 比 去 年 增长 8.9%， 认 为 使 用 开源 技术 可 以 大 大 缩短 应 用 
部 署 时 间 的 企业 点 比 为 45.1%， 另 外 自主 性 、 可 控 性 (30.3% ) 和 降低 
试 错 风险 (20.7% ) 也 是 企业 认为 使 用 开源 技术 的 两 个 优点 。 


节约 成 本 






大 大 缩短 应 用 部 署 时 间 
自主 性 、 可 控 性 
降低 试 错 风险 


人 才 培 养 


| 
4.9% 
64% 
日 2019 年 “上 2018 年 


其 他 


数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 10 企业 选择 开源 软件 原因 


我 国 超 半数 企业 使 用 开源 软件 应 用 于 数据 库 方向 。 企 业 在 数据 库 
方面 对 开源 软件 的 使 用 比例 最 高 ， 占 比 为 58.7%， 其 次 企业 对 大 数据 
和 存储 的 开源 软件 使 用 点 比 也 均 超 过 五 成 ， 分 别 为 52.4% 和 51.2%6， 
另外 有 48.4% 的 企业 在 网 络 方面 使 用 开源 软件 ， 有 46.3% 的 企业 选择 
在 云 计 算 方 百 使 用 开源 软件 . 
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数据 库 58.7% 
大 数据 52.49% 
存储 51.2% 








中 间 伯 


其 了 他 国 2.6% 


数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 11 企业 开源 软件 应 用 领域 


我 国 云 计 算 领 域 已 普遍 应 用 云 计 算 开 源 技术 。 据 中 国信 通 院 调 查 ， 
云 计算 开源 解决 方案 部 署 虚拟 服务 器 的 个 数 在 _ 500 以 内 的 企业 点 比 
最 高 ,达到 33.5%, 虚拟 服务 器 个 数 在 .3S00 个 以 上 的 企业 占 比 25.8%， 
还 有 35.4% 的 企业 已 少 部 分 试用 部 署 虚 拟 服务 器 。 


昌 已 经 大 规模 部 署 ， 虚 拟 服务 器 个 数 在 1000 个 以 上 
日 已 经 部 署 ， 虚 拟 服务 器 个 数 在 500 个 以 上 

掉 已 经 少 部 分 试用 部 署 ， 虚 拟 服务 器 个 数 在 500 个 以 内 
计划 于 1 年 内 部 署 


254 竹 


数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 12 我 国企 业 云 计 算 开 源 技术 应 用 部 署 规模 


我 国 超过 七 成 的 企业 已 经 应 用 开源 容器 技术 。 据 调查 ，40.7% 的 
企业 已 经 使 用 了 容器 技术 ， 相 比 2018 年 提高 了 4.3%; 其 次 ， 正 在 测 
试 容 器 技术 应 用 环境 的 企业 占 比 达到 32.3%， 比 去 年 减少 1.9 个 百 分 
点 。 此 外 ， 还 有 19.1% 的 企业 正在 评估 容器 技术 。 
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2018 人 
) 9 二 2 
卫 36.4% 34.2% 4 各 
2019 人 人 
和 40.79% 32.3% 1、 


本 已 经 投入 生产 环境 四 正在 测试 环境 四 正在 评估 蛋 不 使 用 或 不 了 解 容器 技术 








数据 来 源 : 中 国信 息 通 信 研 究 院 ，2020 年 5 月 
图 13 容器 技术 应 用 情况 


微服 务 领域 以 开源 技术 路 径 为 主 , 我 国 超过 六 成 企业 已 经 应 用 或 
正在 测试 微服 务 框架 。 在 对 企业 微服 务 框 架 使 用 情况 的 调查 中 发 现 ， 
24.8% 的 企业 已 经 应 用 微服 务 框架 ， 相 比 2018 年 提高 2.0%; 其 次 ， 
正在 测试 环境 的 企业 占 比 达到 34.4%， 与 去 年 相 比 提 高 2.8%; 此 外 ， 
还 有 27.6% 的 企业 正在 评估 微服 务 框架 . 





2019 年 24.89%6 34.495 27.69% 





可 已 投入 生产 环境 下 正在 测试 环境 避 正 在 评估 暂时 使 用 或 不 了 解 


数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 14 企业 微服 务 框架 应 用 情况 


Jenkins 是 目前 我 国企 业 使 用 最 广泛 的 开源 集成 工具 .调查 发 现 ， 
在 诸多 开源 集成 工具 中 ,Jenkins 的 使 用 比例 最 高 ,达到 36.8%; 其 次 ， 
分 别 有 32.9% 和 21:1% 的 企业 表示 已 经 应 用 TeamCity 和 GitLab CI. 
此 外 ， 使 用 Go CD 的 企业 占 比 为 9.2%6。 


开源 生态 白皮书 〈2020 年 ) 





Go CD 


(三 ) 开源 企业 数量 保持 稳定 增长 ， 我 国企 业 呈 现 主 


动 开源 趋 势 


全 球 参 与 开源 生态 的 企业 数量 激增 。 全球 企业 一 方面 积极 参与 开 
源 代 码 贡献 ， 开 源 代 码 托 管 是 开源 协作 的 必要 条 件 ， 规 至 2019 年 12 
月 GitHub 参与 的 企业 数 接近 300 万 ; 另 一 方面 积极 跟 进 开源 组 织 ， 
开源 基金 会 是 开源 运营 的 一 种 模式 ,目前 Linux 基金 会 企业 会 员 数 超 


数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 


图 15 企业 使 用 开源 集成 工具 情况 


过 1500， 是 5 年 前 会 员 数 的 倍 。 


350 
300 
250 
200 
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0 


2016 2017 2018 2019 
Eee 个 业 数 (万 ) “一 -一 增长 率 


数据 来 源 : GitHub，2020 年 7 月 


图 16 Github 近 三 年 企业 数量 增长 趋势 
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1800 80.00% 
1600 70.00% 
1400 60.00 
1200 50.00% 
1 40.00W 
600 30.00W 

400 20.00% 

200 10.00 胡 

0 0.00% 





数据 来 源 : GitHub，2020 年 7 月 
图 17 Linux 基金 会 近 十 年 会 员 数 量 增长 趋势 





我 国企 业 近 年 开源 热度 提升 。 近 两 年 来 ， 我 国 头 部 科技 公司 贡 
献 大 量 开 源 项 目 ， 百 度 、 阿 里 、 腾 讯 和 华为 等 企业 开源 数量 连年 增 
长 。 





国内 头 部 科技 公司 GitHub 上 的 开源 项 目 


数量 情况 
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1200 
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腾讯 华为 
昌 2019 年 3 月 旧 2020 年 3 月 





























数据 来 源 : 公开 数据 整理 ，2020 年 7 月 
图 18_ 我国 头 部 科技 公司 近 两 年 GitHub 开源 项 目 数 


技术 共 建 是 我 国企 业 参 与 开源 的 主要 动机 。 根 据 信 通 院 调查 ， 
60.7% 的 企业 希望 通过 建设 开源 生态 的 方式 影响 共 建 技术 ， 实 现 产 品 
的 完善 与 提升 ， 其 次 ， 有 41.4% 的 企业 希望 能 借助 开源 项 目 扩大 企业 
、 
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影响 技术 路 径 60.79% 














xb 加 区 
数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 19 企业 积极 开源 的 动机 


大 范围 发 起 开源 的 企业 仍 占 少 数 。 信 通 院 调查 发 现 ， 我 国 自发 开 
源 企 业 中 ， 开 源 项 目 数量 小 于 10 个 的 企业 点 比 为 40.1%， 仅 有 4.4% 
的 企业 开源 项 目 数 量 超 过 100 个 。 


司 小 于 10 个 

司 10-20 个 

司 20-50 个 

司 50-100 个 
大 于 100 个 





数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 20 自发 开源 企业 的 开源 项 目 规模 


GitHub 成 为 我 国 自 发 开源 企业 首选 的 开源 代码 托管 平台 。 对 开 
源 自 发 企业 调查 发 现 , 企业 开源 项 目 时 最 多 考虑 的 代码 托管 平台 是 美 
国 公司 运营 的 GitHub， 比 个 高 达 46.1%， 其 次 选择 的 代码 托管 平台 是 
中 国 公 司 运营 的 Gitee, 占 比 为 32.8%，, 另外 还 会 考虑 的 开源 代码 托管 
平台 是 GitLab (美国 公司 运营 ) 和 Coding ( 中国 公司 运营 ) 


5 
GitLab 
E5。. 
其 他 国 1.6% 
数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 21 企业 选择 开源 代码 托管 平台 情况 


超 六 成 开源 服务 企业 提供 闭 源 软件 。 调 查 的 开源 服务 企业 中 ， 有 
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67.4% 的 企业 拥有 基于 开源 软件 的 财源 软件 ， 说 明 开 源 服 务 企业 提供 
开源 服务 时 大 多 通过 售卖 封闭 好 的 财源 软件 创造 商业 价值 。 





数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 22 开源 服务 企业 拥有 闭 源 软件 情况 调查 


云 计算 和 数据 库 是 开源 服务 企业 的 两 大 热门 领域 。 调 查 显 示 ， 
2019 年 中 国 开 源 服务 企业 中 5$1.9% 是 基于 云 计 算 领 域 的 开源 软件 进 
行 二 次 开发 提供 开源 服务 ， 有 47.8% 的 产品 是 基于 数据 库 领域 的 开源 
软件 进行 二 次 开发 ， 此 外 网 络 (28.8% ) 和 人 工 智能 (26.3% ) 类 开 源 
软件 也 是 开源 服务 企业 进行 三 次 开发 主要 选择 的 两 个 领域 。 
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其 他 


数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 23 企业 选择 开源 软件 进行 二 次 开发 情况 


《四 ) 开源 基金 会 成 为 开源 运营 重要 角色 
目前 主流 的 开源 基金 (Linux 基金 会 、Apache 基金 会 等 ) 是 在 美 
国 国 税 局 注册 的 $S01(c)(3) 或 S01(c)(6) 非 到 利 机 构 , 近年 来 开源 基金 会 
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会 员 数 及 托管 项 目 数 不 断 扩 充 ， 我 国企 业 积 极 参 与 国际 开源 基金 会 。 
表 2 开源 基金 会 会 员 及 项 目 数量 

















开源 基金 会 会 员 数 | ”托管 项 目 数 中 国会 员 数 “| 中 国 项 目 
数 
Linux 基 金 会 607 100 28 15 
(不 包括 子 基 金 会 ) 
Apache 基 金 会 55 350 4 11 
OpenStack 基 金 会 140 56 9 


























来 源 : 公开 资料 整理 ,2020 年 4 月 








(五 ) 各 行业 开源 生态 已 经 形成 ， 我 国 行业 积极 拥抱 

开源 

全 球 各 行业 开源 应 用 均 占 据 较 高 比例 。 根 据 新 思科 技 发 布 的 
《2020 开 源 安全 与 风险 分 析 报 告 》 调 查 显 示 , 在 可 扫描 的 代码 范围 内 ， 
在 互联 网 和 软件 基础 设施 行业 以 及 物 联网 行业 的 代码 库 中 分 别 有 
83.4% 和 82.19%6 是 开放 源 代 码 ; 其 次 ， 在 教育 技术 、 网 络 安全 、 和 营销 技 
术 领 域 开源 代码 分 别 占 比 78.8%，78.4% 和 78.1%; 金融 服务 和 技术 
(75.3% )、 能 源 和 清洁 技术 (71.6% )、 以 及 娱乐 媒体 行业 (70.1% ) 
也 都 是 开源 代码 应 用 的 热门 领域 . 
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数据 来 源 : 新 已 科 技 ，2020 年 5 月 
图 24 开源 代码 在 不 同行 业 代码 库 中 的 数量 


根据 新 思科 技 发 布 的 《2020 开 源 安全 与 风险 分 析 报告 》 显 示 ， 对 
全 球 1200 多 个 代码 库 进 行 扫描 统计 出 使 用 频率 最 高 的 前 10 名 开源 组 
件 ，jQuery 是 使 用 最 多 的 开源 组 件 ， 该 组 件 是 使 用 MIT 许 可 证 的 开源 
软件 ,涵盖 54.9% 的 扫描 代码 库 和 儿 乎 所 有 的 行业 。 其 次 是 前 端 web 框 
架 开 源 组 件 Bootstrap, 使 用 比例 达到 39.7%; 第 三 名 是 一 个 基于 CSS 和 
LESS 的 开源 字体 和 图 标 工 具 包 组 件 Font Awesome， 使 用 比例 为 30.7%6; 
第 四 名 是 Lodash,， 它 为 常见 编程 任务 提供 实用 函数 的 JavaScript 库 ,使 
用 比例 为 29.9%。 其 他 6 个 开源 组 件 和 使 用 比例 分 别 为 jQuery UL 
29.3%; Underscore， 28.1%; Inherits ，26.8%; isArray ，25.8%6; 


Visionmedia/debug;， 23.6%; Minimatch，23.3%0。 
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数据 来 源 : 新 已 科 技 ，2020 年 5 月 
图 25 热门 开源 组 件 及 使 用 比例 


全 球 传统 行业 积极 跟 进 开源 组 织 ， 并 形成 行业 特色 开源 社区 。 
2019 年 Github 企业 账号 超过 300 万 ，AT&T、 摩根 大 通 、 西 门 子 等 行 
业 用 户 积 极 参与 开源 贡献 ; Linux 基金 会 会 员 同 样 覆 盖 重 点 行业 用 户 ， 

包括 通用 、NTT、 富 士 通 、 中 国 移动 、 民 生 银 行 等 。 重 点 行业 及 领域 
逐步 形成 特定 开源 社区 ， 对 于 电信 行业 ，Linux 合并 的 六 个 项 目 
(CONAP、OPNFV、OpenDaylight、FD.io、PDNA 和 SNAS ) 成 立 LFN 
工作 组 ， 白 金 会 员 中 覆盖 全 球 60% 运营 商 ; 金融 行业 ，2016 年 成 立 
金融 行业 开源 社区 (FINOS ), 2020 年 成 为 Linux 基金 会 的 子 基 金 会 ; 
边缘 计算 领域 ，Linux 基金 会 在 2019 年 成 立 LFEDGE 基金 会 ， 旨 在 
建立 独立 于 硬件 、 茧 片 的 一 个 开放 的 、 可 互 操作 的 边缘 计算 框架 。 

我 国 互联 网 、 金 融 、 软 件 和 信息 技术 服务 行业 是 开源 服务 企业 主 
要 的 服务 对 象 。 开 源 服 务 企业 对 互联 网 服务 的 占 比 最 高 ， 为 40.89%6， 
其 次 是 服务 软件 和 信息 技术 行业 ， 达 到 32.6%， 人 金融 业 也 是 开源 服务 
企业 的 重要 服务 对 象 ， 服 务 据 比 达 31.6%。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 26 开源 服务 企业 的 服务 对 象 分 布 情况 


《六 ) 开源 风险 问题 凸显 ， 成 为 开源 应 用 屏障 
存在 漏洞 的 开源 软件 占 比 较 高 。 根 据 BD《2020 开源 安全 与 风险 
分 析 报 告 》 显 示 ，75% 的 代码 库 至 少 含有 一 个 漏洞 ，49% 的 已 审核 代 
码 库 包 含 高 风险 漏洞 ， 发 现 最 多 的 高 人 危 漏洞 为 CVE-2018-16487， 在 
513 个 代码 仓库 中 发 现 此 漏洞 〈 高 风险 Lodash 原型 污染 漏洞 )。 
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数据 来 源 : 新 思科 技 ，2020 年 5 月 
图 27 风险 漏洞 占 比 


开源 软件 知识 产权 问题 逐渐 引起 关注 。 根 据 BD《2020 开源 安全 
与 风险 分 析 报 告 》 统 计 ，67% 的 开源 组 件 存在 许可 证 冲突 的 情况 ， 最 
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常见 的 情况 是 与 GPL 许可 证 存在 兼容 性 的 问题 ，GPL 是 最 常见 的 许 
可 证 之 一 ， 因 此 使 用 GPL 许可 证 的 开源 项 目 数量 较 多 ， 发 生 许 可 证 
兼容 性 问题 的 比例 也 是 最 多 。 根 据 美 国 专利 组 织 Unified Patents 公布 
的 一 项 研究 结果 表明 ，2012 年 到 2018 年 底 在 美国 地 区 法 院 共 产生 了 
约 260 个 开源 项 目 / 平 全 的 专利 诉讼 案例 。 中 国 2019 年 也 出 现 了 第 一 
例 涉 及 GPL 开源 许可 证 的 诉讼 案例 ， 这 起 案件 是 因 侵犯 计算 机 软件 
著作 权 所 产生 的 纠纷 案 。 
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数据 来 源 : Unified Patents，2019 年 11 月 
图 28 美国 2012-2018 年 开源 项 目 /平台 的 专利 诉讼 案例 数量 


出 于 安全 性 考虑 成 为 我 国企 业 尚未 应 用 开源 技术 的 最 主要 原因 。 
2019 年 ， 出 于 安全 性 考虑 而 未 使 用 开源 技术 的 企业 据 比 最 高 ， 达 到 
43.8%， 比 去 年 增加 8.6%， 而 2018 年 占 比 最 高 的 是 缺少 适合 的 解决 
方案 , 在 2019 年 占 比 为 35.6%， 比 2018 年 降低 7.8%， 降 至 第 二 位 ， 
反映 出 企业 对 于 开源 治理 的 诉求 更 加 迫切 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 29 我 国企 业 未 使 用 开源 软件 的 原因 











《七 ) 全 球 开源 治理 理念 兴起 ， 我 国 初 步 形成 开源 治 

理 模式 

开源 治理 是 针对 开源 引入 过 程 、 自 发 开源 过 程 、 开 源 社 区 维护 等 
方面 的 一 套 流 程 体系 ， 是 推动 开源 生态 良性 发 展 的 有 效 手 段 。 

全 球 部 分 企业 正在 规划 开源 办 公 室 。 根据 Linux 基金 会 开源 办 公 
室 调查 报告 显示 ， 在 2,700 名 研究 参与 者 中 ， 超 过 一 半 (52% ) 拥有 
正式 或 非 正 式 开源 项 目 办 公 室 ， 或 者 他 们 的 公司 计划 创建 一 个 计划 。 

我 国企 业 逐 步 关 注 统一 开源 治理 。 开 源 软 件数 目 庞大 ， 统 筹 管理 
困难 成 为 企业 最 关注 的 开源 软件 引入 风险 点 ，23.6% 的 受 访 企业 有 统 
一 管理 流程 和 管理 团队 ，13.4% 的 企业 有 白 名 单 或 黑 名 单机 制 ，$5.19% 
的 企业 目前 对 引入 的 开源 项 目 没有 统一 管理 , 主要 由 开发 运 维 团队 分 
散 管理 。 
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心 司 没 有 统一 管理 ,主要 由 开发 运 维 团队 分 散 管理 
可 有 统一 管理 流程 和 管理 团队 
司 有 白 名 单 或 黑 名 单机 制 
其 他 


数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 30 企业 开源 治理 情况 调查 


开源 软件 数量 庞大 是 开源 治理 的 主要 难点 。 对 开源 用 户 企业 调查 
发 现 ,开源 软件 数量 让 大 ， 统 筹 管理 困难 是 企业 关注 的 开源 软件 引入 
的 最 主要 风险 , 点 比 达到 63.4%, 技术 更 新 迭代 快 ` 运 维 成 本 高 (52.8%6 ) 
和 安全 漏洞 威胁 严重 (350.2% ) 也 是 企业 认为 引入 开源 软件 会 遇 到 的 
主要 风险 。 
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ms 


数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 
图 31 企业 认为 开源 软件 引入 产生 的 风险 情况 


〈 八 ) 开源 配套 政策 正在 完善 ， 我 国政 策 引 导 开 源 社 
区 构建 

全 球 通过 政府 采购 市 场 调动 开源 生态 。 美国 联邦 政府 于 2016 年 推 
出 联邦 源 代 码 政策 ， 规 定 美国 政府 各 部 门 每 年 采购 的 软件 中 20% 的 代 
码 需 开源 ; 韩国 政府 拟 在 2026 年 前 让 所 有 公共 机 构 和 地 方 政府 采用 基 
于 Linux 的 OpenOS 系 统 ， 同 时 使 用 OpenOS 系 统 将 有 效 减少 采购 商业 
操作 系统 以 及 操作 系统 技术 支持 方面 的 开支 ; 英国 政府 在 2019 年 发 布 
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的 最 新 版 《数字 服务 标准 》 第 12 条 要 求 政府 部 门 公开 所 有 新 的 代码 ， 
并 选择 合适 的 许可 证 开源 。 

政府 部 门 引 导 产 业 关 注 开 源 风 险 问 题 。 欧 盟 推 出 “IDABC” 计 划 
解决 开源 许可 证 的 风险 问题 ， 欧 盟 通过 制定 欧盟 公共 许可 证 EUPL 优 
进 各 成 员 国 共享 和 重新 利用 由 公共 机 构 和 行政 机 构 开 发 或 为 其 开发 
的 软件 ; 澳大利亚 政府 单独 发 布 《澳大利亚 和 政府 开源 软件 许可 风险 
框架 》 概述 开源 许可 风险 的 重要 性 ， 提 供 识别 和 管理 开源 软件 许可 
证 相关 的 风险 方法 ; 英国 政府 发 布 《 开 放 代码 的 安全 注意 事项 指南 彤 
美国 联邦 金融 机 构 审查 委员 会 发 布 《 开 源 软件 风险 管理 指引 》。 

政府 相关 部 门 加 大 开源 方面 投入 。 美 国 科研 院 所 引领 开源 生态 ， 
美国 科研 院 所 从 开源 项 目的 使 用 者 向 开源 项 目的 贡献 者 转变 ， 截 至 
2020 年 4 月 ,美国 NASA 在 Github 上 托管 261 个 开源 项 目 ， 同 时 
NASA 建 立 了 自己 的 开源 代码 托管 平台 , 托管 560 个 开源 项 目 ( 源码 、 
开放 数据 、 开 放 API 等 )， 阿 贡 国 家 实验 室 在 Github 上 共 托管 160 个 
开源 项 目 ， 洛 斯 阿拉 莫 斯 国家 实验 室 在 Github 上 共 托管 38 个 开源 项 
目 ， 这 些 开 源 项 目 在 各 自 领域 具有 重要 价值 ， 并 逐步 形成 自己 的 开源 
生态 。 欧 洲 核 子 研究 机 构 (CERN ) 在 开放 数据 、 开 源 硬 件 有 一 定 积 
累 ， 在 GitHub 有 6 个 开放 数据 的 项 目 。 

我 国政 策 关 注 开源 社区 发 展 。 一 方面 国家 层面 误 励 产业 加 大 开源 
投入 ，2016 年 发 改 委 发 布 “ 十 三 五 ”国家 信息 化 规划 的 通知 ( 国 发 
[2016] 73 号 )， 推 动 龙头 企业 和 科研 机 构成 立 开源 技术 研发 团队 ， 
支持 开源 社区 创新 发 展 , 鼓励 我 国企 业 积极 加 入 国际 重大 核心 技术 的 
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开源 组 织 ; 2020 年 4 月 国家 发 展 改革 委 、 中 央 网 信 办 研究 制定 了 《 关 
于 推进 【上 云 用 数 赋 智 1 行动 培育 新 经 济 发 展 实施 方案 六 该 方案 加 
大 对 共性 开发 平台 .开源 社区 .共性 解决 方案 .基础 软 硬 件 支持 力度 ， 
鼓励 相关 代码 、 标 准 、 平 台 开源 发 展 。 另 一 方面 , 地方 政 府 关注 开源 
社区 及 开源 软件 的 创新 使 用 ，2019 年 ， 湖 南 省 发 布 《湖南 省 大 数据 产 
业 发 展 三 年 行动 计划 (2019-2021 年 为 ， 支 持 建立 大 数据 相关 开源 社 
区 等 公共 技术 创新 平台 ， 鼓 励 开发 者 、 企 业 、 和 研究 机 构 积 极 参与 大 数 
据 开 源 项 目 ， 增 强 在 开源 社区 的 影响 力 ， 提 升 创新 能 力 ; 2018 年 , 山 
东 省 发 布 《数字 山东 发 展 规划 (2018-2022 年 )， 支 持 基 于 开源 软件 
的 消化 吸收 再 创新 。 


三 、 开 源 成 为 企业 商业 布局 的 重要 手段 
开源 贡献 者 与 开源 服务 考 结 合 自身 经 营 模式 与 开源 进行 有 效 结 
合 ， 实 现 商 业 转 换 。 


一) 全 球 开 源 商业 模式 多 样 化 发 展 

企业 可 通过 主动 开源 进行 商业 布局 , 一 是 积极 跟 进 相关 领域 顶级 
开源 项 目 ， 深 度 参 与 开源 贡献 ， 影 响 开 源 技 术 路 线 ; 二 是 建立 自发 开 
源 生 态 ， 将 有 可 能 影响 市 场 格局 的 项 目 开 源 ， 同 时 培育 潜在 用 尸 ， 推 
动 形成 事实 标准 ; 三 是 收购 特定 领域 开源 企业 , 与 自身 商业 产品 配合 ， 
扩大 用 忆 市 场 ; 四 是 结合 开源 项 目 提供 开源 服务 ,通过 开源 服务 实现 
商业 转化 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 8 月 
图 32 开源 商业 布局 的 四 种 方式 


《二 ) 全 球 开 源 企 业已 启动 收购 模式 ， 进 一 步 扩 大 用 
户 群 体 
全 球 开源 投资 步伐 逐渐 加 快 。ANDREESSEN HOROWITZ 是 一 家 
在 硅谷 成 立 的 风 投 公 司 ， 关 注 科 技 领域 ， 共 投资 了 29 家 开源 公司 总 计 
702.75 亿 美元 ; IBM 通 过 对 开源 的 持续 投资 获得 收益 ,， 除 2018 年 以 340 
亿美 元 市 值 收 购 红 帽 公司 外 ，IBM 在 过 去 五 年 中 投入 开源 近 10 亿 美元 ; 
微软 2018 年 以 75 亿 美元 收购 GitHub; 2020 年 SUSE 收 购 业 界 应 用 最 为 


广泛 的 Kubernetes 管理 平台 建设 方 Rancher。 
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1999 JR redhat, 3.6 

2004 SUSE, 0.2 

2005 】〗 Android, 0.05 

2006 国 JBoss,0.4 

2007 “” 国 国 重 zimbra,0.3 Xen,0.5 

2008 ”有 国 国 MySQL, 1 

2010 年 zimbra,0.1 

2011 轩 Magento,0.1 cloudcom,0.2 

2012 由 GLUSTER, 0.13 zmanda,0.01 ”Chain Reaction Cycles， 
0.005 

2014 是 hortonworks,0.13 inktank, 0.01 eNovance, 0.005 

2015 国有 肿 Magento, 0.02 pentaho, 0.6 Onyara,0.03 zimbra, 0.03 

2016 ” 国 国 talend, 0.5 ”hexatier 0.04 

2017 “RN mongoDB, 1.2 blackduck,0.5 MuleSoft, 2.1 


heptio, 0.4 elastic, 5.9 CoreOSs, 0.2 Magento, 1.7 Mulesoft 6.5 
2018 





NGINX, 0.6 smile.io, 0.1 dataArtisans, 0.1 hortonworks, 5.2 SUSE, 2.5 redhat 34 
2019 IRRR 
0B 1B 2B 3B 4B 5B 6B 7B 8B 9B 10B 11B, 12B 13B 14B 34B 


收购 金额 (10 亿 美元 ) 


数据 来 源 :。 Pitchbook，2020 年 4 月 
图 33 开源 投资 情况 


全 球 开源 企业 积极 布局 开源 ,率先 在 基础 软件 领域 发 力 ， 弟 动 整 
体 商 业 布 局 。 顶 级 科技 公司 成 为 开源 的 重要 贡献 者 ， 微 软 、 谷 歌 、 红 
帽 、 英 特 尔 等 顶级 科技 公司 的 员工 是 开源 项 目的 重要 贡献 者 。 根 据 
Github 统计 ， 微 软 有 7700 名 员工 参与 开源 投入 ,谷歌 有 35500 人 参与 
开源 投入 。 谷 歌 开 源 移动 操作 系统 Android， 截 止 2019 年 8 月 ， 在 全 
球 移 动 操作 系统 市 场 中 占有 率 高 达 75.44%; 开源 PC 操作 系统 
ChromeOS，, 在 美国 有 一 定 市 场地 位 ， 其 市 场 占 有 率 高 达 4.82%。 微 软 
开源 跨 平 全 编译 器 VScode， 自 2016 年 起 连续 占据 GitHub 开源 项 目 
TOP10，2018-2019 稳 居 榜首 ， 由 它 部 署 的 Azure 在 2018 年 市 场 收 益 
达到 48.6 亿美 元 ， 点 据 云 计算 市 场 17% 份 额 ; Facebook 开源 对 象 关 
系数 据 库 服务 器 PostgreSQL，2020 年 3 月 ， DB-Engines 数据 库 流 行 
度 排行 榜 第 四 名 

基于 开源 逐步 形成 稳定 的 商业 模式 。 开 源 社 区 版 本 多 以 公开 形式 
发 布 源 代 码 ， 围 绕 社 区 版 开源 项 目 ， 很 多 企业 已 经 形成 服务 为 主 的 商 


20 





开源 生态 白皮书 〈2020 年 


\- 一 








业 模式 。 一 是 开源 服务 订阅 收费 ,这 种 模式 是 向 企业 客户 提供 基于 上 
游 开 源 社 区 软件 代码 打造 的 企业 级 开源 软件 产品 , 把 开源 社区 的 项 目 
产品 化 ,使 普通 企业 客户 更 容易 消费 开源 创新 技术 ,例如 红 帽 把 按 年 
度 的 收费 模式 叫做 “订阅 模式 ?， 除 了 免费 享受 这 些 志 持 以 外 盖 用户 
无 需 再 次 购买 产品 的 升级 ,根据 用 户 的 需要 可 随时 进行 更 新 ; 二 是 企 
业 发 行 版 收费 ， 随 着 开源 协议 授权 条 款 的 松绑 ,软件 公司 可 基于 社区 
版 的 基础 功能 ， 提 供 自己 研发 的 企业 发 行 版 本 ， 这 些 企 业 发 行 版 一 般 
会 收取 费用 ， 并 且 是 闭 源 的 ， 此 模式 的 代表 公司 是 Apache Hadoop 生 
态 圈 知 名 度 最 高 的 Cloudera 公司 ， 围 绕 Apache Hadoop 提供 企业 级 
解决 方案 ， 主 要 的 客户 集中 在 中 大 型 企业 客户 ; 三 是 云 服务 收费 ， 随 
着 云 计 算 逐 渐 被 市 场 接受 ， 整 个 云端 应 用 能 力 大 幅 成 长 ， 这 也 促成 了 
新 的 开源 服务 商业 模式 ， 即 柔 用 付费 直接 使 用 云端 服务 的 商业 模 邢 ， 
企业 客户 直接 付费 使 用 构架 在 云端 的 开源 软件 ,不 用 自己 搭建 软件 使 
用 环境 , 使 得 技术 能 力 不 强 的 中 小 型 企业 也 能 以 较 低 成 本 享受 开源 技 
术 , 也 因 相关 云 端 技术 的 成 熟 , 云 计 算 订 阅 的 收费 模式 开始 大 行 其 道 ， 
亚马逊 等 公司 就 是 这 类 新 创 开 源 软 件 公司 的 代表 。 


三) 我 国 开源 企业 已 初步 构建 形成 有 影响 力 的 开源 
项 目 

我 国 积极 跟 进 国际 开源 生态 。 人 参与 国际 顶级 开源 社区 反馈 ， 实 现 
技术 输出 ， 共 建 技术 路 径 ，GitHub 国内 贡献 数 117 万 ， 在 全 球 占 比 
11.8%，Linux 项 目 中 国 在 全 球 贡 献 度 排名 第 三 。 


我 国 构建 自发 开源 生态 ,开源 项 目 影响 力 呈 现 持续 扩大 态势 。 我 
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二 











国企 业主 动 开源 形 成 稳定 自发 开源 模式 ,互联 网 企业 紧 跟 产业 数字 化 
机 遇 ， 借 助 流量 优势 开源 项 目 ， 截 至 2020 年 9 月 ， 阿 里 开源 2172 个 
项 目 ， 腾 讯 开 源 150 个 项 目 ， 总 体 同 比 保持 15% 的 增长 率 ， 设备 厂商 
勇于 打破 原 有 商业 模式 ， 积 极 拥抱 开源 ， 截 至 2020 年 9 月 ， 华 为 开 
源 161 个 项 目 ， 我 国 自发 开源 项 目 中 不 乏 国 际 影响 力 开源 项 目 ， 其 中 
Dubbo、RocektMQ、CarbonData 等 均 已 成 为 Apache 顶级 开源 项 目 。 
移动 互联 网 企业 也 在 积极 开源 ， 小 米 MACE (移动 端 AI 框架 ) 和 
Pegasus (分布 式 KV 存储 ) 和 Kaldi 均 已 开源 。 

头 部 科技 公司 在 代码 托管 平台 上 的 开源 项 目 数 呈 明显 增长 趋势 ， 
根据 2019 年 《中 国 互联 网 公司 开源 项 目 调查 报告 》! 显 示 ， 阿 里 、 腾 
讯 、 百度、 华为 等 头 部 互联 网 企业 在 Github 上 贡献 的 数量 超过 3000， 


集中 在 前 端 开发 、 人 工 智能 。 数据 库 、 微 服务 、 中 间 件 等 领域 。 
表 3 我 国企 业 在 Github 代码 贡献 情况 




























































































内 排名 | 全 球 排 名 项 目 名 称 公司 
前 端 开发 
2 28 ant-design/ant-design 阿里 巴巴 
3 37 ElemeFE/element 阿里 巴巴 
5$ 90 NervJS/taro 京东 
7 107 Vvuejs/vue-cli ee 
10 141 ant-design/ant-design-pro 阿里 巴巴 
11 169 apache/incubator-echarts 百度 
12 193 Vvuejs/vue = = 
14 209 youzan/vant 有 赞 
15 237 nestjsnest 一 一 
20 477 VuejS/vuepress 
人 工 智能 
6 103 PaddlePaddle/Paddle 百度 
18 297 ApolloAuto/apollo 百度 
20 383 PaddlePaddle/models 百度 











1 http://www.199it.comyarchives/8$6967.html 
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25 452 huaweicloud/ModelArts-Lab 华为 
数据 库 
8 128 pingcap/tidb PingCAP 
21 385 tikvtkv PingCAP 
微服 务 
16 270 apache/dubbo 国 儿 已 
19 362 alibaba/nacos 阅 嘻 y 巴 巴 
23 394 apache/skywalking 人 
中 间 件 
22 389 Seata/seata 阿里 巴巴 
24 426 apache/ shardingsphere 京东 数 科 
其 它 
1 2 990icu/996.ICU 人 
4 83 Selfteaching/selfteaching-python=camp 站 
9 137 OpenAPIToolsopenapli-generator 一 
13 207 Advanced-Frontend/Daily-Interview- 
Question 
17 290 Xitu/gold-miner 掘 金 








数据 来 源 : X- lab 开放 实验 室 

头 部 科技 公司 在 基础 软件 领域 的 开源 项 目 呈 增长 趋势 , 开源 将 成 
为 未 来 新 技术 发 展 的 重要 抓 手 。 华 为 开源 服务 器 操作 系统 EulerOS， 
跨 平 台 的 操作 系统 HarmonyOS， 单 机 版 数据 库 GaussDB OLTP,， 全 场 
景 AI 计算 框架 MindSpore; 腾讯 开源 轻 量 级 物 联 网 实时 操作 系统 
TencentOS tiny， 万 亿 级 分 布 式 消息 中 间 件 TubeMQ， 企 业 级 分 布 式 
HTAP 数据 库 管 理 系统 TBase; 阿里 开源 实时 计算 平台 Blink， 云 服务 
器 架构 “ 方 升 "， 关 系数 据 库 OceanBase。 

战略 投资 实现 开源 资源 整合 。 腾讯 投资 代码 托管 平台 Coding、 百 
度 投资 代码 托管 平台 开源 中 国 、 阿 里 巴巴 以 9000 万 欧元 收购 了 Data 
Artisans《〈 开 源 项 目 Flink 发 起 公司 )， 国 内 科技 公司 积极 投资 开源 基 
础 设施 ， 为 构建 自身 生态 做 好 铺垫 。 
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二 








云 计 算 推动 我 国 开 源 服 务 发 展 。 我 国 阿 里 云 、 中 兴 、 腾 讯 云 等 众 
多 企业 基于 Kubermetes、Docker 等 开源 软件 构建 闭 源 商业 产品 ,形成 
稳定 的 发 行 版 收费 模式 ; 阿里 云 服务 为 用 户 提供 多 种 云 计算 服务 ， 这 
些 服务 部 分 基于 开源 软件 提供 ,如 云 数 据 库 类 是 基于 MySQL,， Redis， 
MongoDB 等 热门 开源 数据 库 提 供 云 服务 。 


四 、 全 球 开 源 基 金 会 运营 蛋 却 成 就， 我 国 率先 探索 联 


盟 运营 机 制 


〈 一 ) 良好 的 开源 社区 是 形成 开源 代码 的 前 提 条 件 

全 球 已 形成 大 批 以 技术 为 中 心 的 开源 社区 。 开 源 社 区 一 般 依 托 开 
源 项 目 自然 形成 ,是 开源 项 目 不 断 发 展 的 重要 组 织 ， 开 源 社 区 数量 基 
本 与 开源 项 目 数 量 等 同 。 开 源 社 区 聚集 一 批 对 开源 项 目 感 兴趣 的 人 ， 
主要 进行 代码 协作 、 开 源 讨 论 . 社 区 决策 等 工作 , 全 球 开源 项 目 过 亿 ， 
已 经 形成 相对 稳定 的 开源 社区 运转 模式 。 根据 参与 者 范围 开源 社区 运 
转 可 分 为 以 下 两 种 模式 ， 一 种 是 集 市 模式 ， 鼓 励 任 何人 都 可 以 做 出 贡 
献 ， 具 有 快速 迭代 特点 ， 例 如 Linux; 一 种 是 大 教堂 模式 ， 由 相对 稳 
定 的 团队 进行 贡献 ,发 布 频率 相对 较 低 ,例如 Apache OODT. 根据 决 
策 机 制 ， 开 源 社 区 运转 可 分 为 以 下 两 种 模式 ， 一 种 是 精英 模式 ， 根 据 
贡献 程度 形成 决策 结构 ，Apache 基金 会 开源 项 目 所 依托 的 开源 社区 
均 邓 用 精英 模式 ; 一 种 是 独裁 治理 模式 ， 即 项 目的 把 控 者 是 其 创始 人 
和 资助 者 





表 4 开源 社区 分 类 
典型 开源 社 | Linux 社区 | Apache OODT | Apache Ubuntu 社区 
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区 社区 HTTPD 社区 
参与 者 任何 人 相对 稳定 的 团 “| 任何 人 相对 稳定 的 团 
队 队 
决策 机 制 “| 创始 人 和 资 | 根据 贡献 度 形 “| 根据 贡献 度 形 | 创始 人 和 资助 
助 者 决策 机 制 决策 机 制 “| 者 
开源 模式 “| 集 市 模式 ; “| 大 教堂 模式 ; 精英 模式 ; 独裁 模式 ; 
独裁 模式 精英 模式 集 市 模式 大 教堂 模式 











来 源 : 公开 资料 整理 ,2020 年 4 月 
我 国 以 用 户 为 中 心 的 开源 社区 发 展 阶 段 与 全 球 保 持 一 致 。 不 同行 
业 对 开源 的 需求 往往 是 各 不 相同 , 为 满足 不 同行 业 对 开源 的 具体 需求 ， 








行业 开源 社区 应 运 而 生 。 中 国信 通 院 联合 浦发 等 多 家 金融 机 构成 立 
“金融 行业 开源 技术 应 用 社区 ” 规范 开源 治理 体系 、 讨 论 开 源 软 件 


选 型 标准 和 建立 开源 软件 共享 平台 , 全 球 开 源 用 户 社 区 仍 处 于 探索 阶 
段 ，FINOS 基金 会 成 立 四 年 于 2020 年 与 Linux 基金 会 合作 ， 寻 找 用 





户 社区 发 展 新 模式 。 


(二 ) 开源 基金 会 


开源 基金 会 主要 进行 开源 项 目 第 三 方 知识 产权 托管 


套 服务 建立 开源 生态 ， 
关 法 律 支持 ， 


运营 通过 知识 产权 托管 培育 开源 社 


助 通用 规则 保证 开源 项 目 安全 性 。 


开源 基金 会 的 战略 布局 由 董事 会 


,同时 提供 配 


一 般 对 开源 项 目 进 行 资金 众 筹 和 支持 ， 提 供 相 
聘请 专业 人 员 进 行 管理 ， 建 立 专 业 化 人 才 培 训 机 制 ， 


决策 。 各 基金 会 董事 会 形成 方式 


不 同 ，Linux 共 金 会 董事 会 (23 人 ) 主要 由 白金 企业 会 员 代 表 组 成 ; 
Apache 基 金 会 董事 会 (9 人 ) 由 700 余 个 人 会 员 根 据 贡 献 度 选举 产生 ; 
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OpenStack 基 金 会 (24 人 ) 主要 由 白金 会 员 和 黄金 会 员 代表 组 成 。 董事 
会 对 基金 会 的 战略 规划 、 财 务 管 理 、 市 场 及 法 务 问 题 、 分 支 机 构 设 天 
具有 决策 权 ,， 通过 投票 表决 方式 决议 。 董事会 不 参与 开源 项 目的 目 党 
技术 管理 ， 重 量 级 的 子 基 金 会 /项 目 拥 有 自己 的 董事 会 来 进行 自治 。 
Linux 董 事 会 每 个 成 员 都 有 投票 权 ， 并 且 决 策 通 过 需 多 数 成 员 投 票 同 
总 ; Apache 董 事 会 采用 懒惰 共识 法 ,决策 需要 没有 反对 票 的 正面 投票 ， 

当 投 反对 票 时 ， 要 明确 提出 蔡 代 方案 ， 以 及 投 反对 票 的 详细 解释 。 
技术 管理 委员 会 对 开源 项 目 进行 技术 指导 。 基 金 会 整体 技术 管理 
委员 会 负责 技术 指导 ，Linux 基 金 会 建立 技术 咨询 委员 会 ， 由 Linux 主 
要 的 贡献 者 组 成 ， 主 要 提供 技术 咨询 ，OpenStack 基 金 会 技术 管理 委 
员 会 由 13 名 个 人 组 织 ， 负 责 技术 管理 和 指导 ， 参 与 决策 项 目的 筹 化 和 
毕业 ， 对 各 个 开源 项 目 无 直接 管理 权 ; 单个 项 目 技术 管理 委员 会 直接 
管理 开源 项 目 ， 对 于 Apache 基 金 会 ， 每 个 项 目 都 会 形成 技术 管理 委员 
项 目 发 展 路 径 和 定位 由 项 目 管理 委员 会 投票 决定 。 
管理 团队 负责 基金 会 日 常事 务 , 部 分 基金 会 聘请 专职 人 员 。 Linux 
基金 会 建立 专职 经 营 团队 ， 包 括 执行 董事 、 项 目 经 理 、 财 务 主管 、 基 
金 会 秘书 等 角色 ， 负 责 市 场 营销 、 项 目 合 规 、 培 训 、 项 目 黎 化 等 执行 
工作 ， 高 级 职员 一 般 每 两 年 选举 一 次 ， 且 由 董事 会 进行 任命 ; Apache 
基金 会 具有 专职 执行 总 裁 、 财 务 总 监 、 秘 书 等 角色 构成 管理 团队 负责 
基金 会 管理 与 监督 ， 财 务 以 及 市 场 活动 采用 外 包 和 形式， 以 减少 成 本 与 
提升 效率 。 
会 员 构 成 开源 基金 会 交流 平台 。Linux 基 金 会 为 企业 会 员 模 式 ， 





开源 生态 白皮书 〈2020 年 


\- 








目前 白金 会 员 15 家 ， 黄 金 会 员 15 家 ， 白 银 会 员 800 余 家 ， 白 金 会 员 可 
最 多 任命 20 名 董事 会 成 员 ， 新 会 员 入 会 需 董事 会 进行 决议 ; Apache 基 
金 会 为 个 人 会 员 模 式 ， 会 员 都 是 以 个 人 身份 参与 项 目 组 织 ; 专注 于 技 
术 交 流 ， 新 的 个 人 会 员 由 现 有 个 人 会 员 提名 ， 然 后 根据 该 成 员 对 基金 
会 的 贡献 情况 进行 投票 ,企业 仅 以 玩 助 的 形式 参与 ， 获 得 网 站 展示 标 
识 以 及 会 议 发 言 机 会 ; OpenStack 基 金 会 为 企业 会 员 模 式 ， 只 容纳 最 
多 8 家 白金 会 员 资格 和 24 家 黄金 会 员 资格 ， 白 爹 与 黄金 会 员 可 以 各 自 
选举 8 名 董事 会 成 员 ， 董 事 会 有 权利 进行 新 会 员 资格 投票 ， 终 止 或 恢 
复 企业 会 员 资 格 。 
开源 基金 会 收入 来 源 逐 渐 多 样 。 目 前 主流 的 开源 基金 会 都 是 非 营 

利 性 组 织 ， 资 金 主 要 来 源 依赖 于 企业 会 费 (企业 捐赠 ) 以 及 日 常 运营 
的 收入 (项 目 管理 、 活 动 、 幸 训 与 认证 ) 等 ; 会 员 费 作为 开源 基金 会 
的 主要 收入 来 源 ，Linux 基 金 会 白金 会 员 50 万 美元 /年 ， 黄 金 会 员 10 万 
美元 /年 ， 白 银 会 员 $000-20000 美 元 /年 ，Linux 基 金 会 年 会 员 费 收入 超 
过 1000 万 美元 ,总 收入 点 比 50% 左 右 ; Apache 基 金 会 资金 主要 来 源 于 
企业 捐赠 ， 捐 赠 等 级 分 为 白金 12.5 万 美元 /年 ， 黄 金 5 万 美元 /年 ， 白 银 
2.5 万 美元 /年 与 青铜 6 千 美元 /年 ， 年 收入 191 万 美元 ; 项 目 管理 费 收 入 
占 比 逐渐 提升 ，Linux 基 金 会 对 子 基 金 会 及 重要 项 目 收取 项 目 管理 费 
用 ， 目 前 项 目 管理 费用 点 linux 基 金 会 总 项 目 收入 的 40%。 

基础 设施 与 人 员 投入 作为 基金 会 的 主要 开销 。 根据 Apache 基 金 会 
财报 , 支出 费用 从 2018 财 年 的 142 万 美元 增长 至 2023 财 年 的 220 万 美元 ， 
支出 费用 中 基础 设施 占 比 最 高 ， 达 到 34%; Linux 基 金 会 的 设施 服务 
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费 从 2017 年 的 423 万 美元 增长 到 2018 年 的 1856 万 美元 ,增幅 达 到 338%6， 
人 员 薪 酬 费 用 也 从 2017 年 的 2254 万 美元 增长 到 2018 年 2529 万 美元 ， 
幅 达 到 12.2%。 


(三 ) 我 国 逐 步 形成 稳定 的 开源 运营 机 制 
开源 运营 最 终 目 的 是 推广 开源 项 目的 认可 度 ,建立 开源 生态 ， 我 
国 一 方面 推动 开源 基金 会 相关 工作 , 另 一 方便 借助 联盟 优势 推动 开源 


牛 
咕 


开源 基金 会 实体 机 构 已 经 形成 。 开 放 原 子 开源 基金 会 于 2020 年 6 
月 正式 在 民政 部 注册 成 立 , 是 非 营利 性 独立 法 人 机 构 , 针对 开源 软件 、 
开源 硬件 、 开 源 芯片 及 开源 内 容 等 提供 中 立 的 知识 产权 托管 ， 并 提供 
资金 ， 法 律 、 财 务 等 专业 支持 ， 理事 会 是 开源 基金 会 的 立法 机 构 ， 负 
责 审 议和 修改 基金 会 章程 等 ; 技术 监督 委员 会 是 技术 决策 机 构 ， 负 责 
开源 基金 会 技术 相关 的 决策 ; 秘书 处 是 开源 基金 会 的 执行 机 构 ， 负 责 
开源 基金 会 日 常 运 营 事务 等 相关 工作 . 目前 基金 会 托管 开源 项 目 7 个 ， 
主要 捐赠 单位 包括 阿里 、 百 度 、 华 为 、 浪 潮 、 腾 讯 、360、 招 商 银行 
等 。 

联盟 开源 运营 机 制 持续 推进 。 联 盟 社 区 开源 运营 机 制 不 进行 开 海 
项 目 知识 产权 托管 ， 主 要 进行 技术 沧 理 和 业务 治理 ， 通 过 行业 社区 推 
动 开源 项 目 建 立 自生 态 ， 中 国信 通 院 重点 依托 工业 互联 网 联盟 、 云 计 
算 开 源 产 业 联 盟 、 爹 融 行业 开源 技术 应 用 社区 、 人 工 智能 产业 发 展 联 
引 等 行业 及 新 技术 领域 产业 资源 ， 帮 助 企 业 运 营 开源 项 目 ， 目 前 与 腾 
讯 蓝 鲸 、TARS 等 项 目 建 立 合作 关系 ， 主 要 通过 会 议 宣传 推广 、 产 品 


34 








开源 生态 白皮书 〈2020 年 


\- 一 








标准 制定 ， 上 下 游 一 致 性 评估 、 人 才 嫉 养 认 证 等 方面 工作 ， 管 理 开 源 
项 目的 社区 ， 在 人 工 智能 等 新 技术 领域 创建 开源 开发 者 社区 平台 、 开 
源 咨 询 管理 平台 、 构 建 人 工 智能 大 赛 平台 , 促进 开源 项 目的 生态 发 展 。 








五 、 传 统 行业 逐步 拥抱 开源 生态 ， 我 国 行业 用 户 关 注 
开源 使 用 


〈 一 ) 工业 互联 网 布局 开源 看 重 产业 数字 化 新 机 遇 

在 工业 互联 网 领域 , 巨头 企业 更 多 看 重 的 是 把 握 工 业 互 联网 浪 测 
中 产业 数字 化 转型 的 新 机 遇 ， 占 领 新 兴 产 业 的 制高点 和 影响 力 。 

全 球 工 业 互联 网 领域 在 物 联 网 方向 开源 投入 积极 。 目 前 ， 工 业 互 
联网 积极 布局 开源 项 目 ， 主 要 侧重 IoT 领域 。 龙 头 企业 正在 尝试 基于 
通用 开源 软件 建立 工业 互联 网 领域 开源 生态 ， 西 门 子 在 GitHub 上 的 
自发 开源 项 目 为 38 个 ,涉及 IOT2000 设备 硬件 特性 管理 等 项 目 。GE 
的 开源 策略 经 历 了 三 个 主要 阶段 ， 一 是 依赖 技术 投资 阶段 ，GE 与 
EMC 联合 向 CloudFoundry 架构 供应 商 Pivotal 进行 投资 , 以 实现 对 关 
键 技术 的 掌控 ; 二 是 自发 开源 阶段 ， 自 2016 开源 工业 互联 网 平台 
Predix， 党 试 建立 类 似 Android 生态 ; 三 是 开放 社区 阶段 就 是 通过 开 
放 的 API 接口 建立 生态 。IoT 领域 开源 软件 逐渐 兴起 并 多 由 创业 公司 
发 起 ， 且 KAA，Zetta 等 开源 软件 背后 均 有 商业 化 服务 。 工 业 互联 网 
领域 开源 协同 机 制 已 经 形成 ， 集 中 在 边缘 计算 及 物 联 网 领域 ， 如 
Eclipse IoT 工作 组 ，LF EDGE 工作 组 等 。 


我 国 工 业 互 联网 领域 市 场 应 用 旺盛 ， 科 技 公司 率先 布局 。 我 国 工 
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业 互联 网 领域 对 工业 互联 网 PaagS 平台 、 边 缘 计 算 框架 、 边 缘 云 开源 
技术 需求 最 为 旺盛 。 在 开源 投入 方面 ， 科 技 公 司 率 先 布局 开源 生态 ; 
发 力 边 缘 计 算 平台 和 物 联 网 操作 系统 领域 ， 比 如 华为 的 KubeEdge， 
百度 OpenEdge， 阿 里 AliOS Things， 腾 讯 ttncentOS-tiny 等 ， 高 校 在 
物 联 网 数据 库 领 域 积极 探索 开源 模式 ， 由 清华 大 学 发 起 的 Apache 
IoTDB 已 经 成 为 Apache 顶级 项 目 ; 在 产业 协作 方面 ;科技 公司 探索 
建立 开发 者 社区 ， 形 成 产业 协作 模式 ， 如 小 米 投入 1 亿 元 打造 小 米 
AIoT 基金 会 、 浪 潮 牵 头 成 立 中 国 开源 工业 PaaS 协会 。 


(二 ) 电信 行业 由 用 户 侧 及 运营 商 推动 开源 ， 探 索 产 
品 创 新 

电信 和 领域 技术 壁 盆 高 ,研发 投入 高 ,电信 基础 设施 和 应 用 /服务 的 
生命 周期 很 长 ， 对 研发 以 及 和 运 维 团队 要 求 高 。 电 信行 业 运 营 商 和 大 型 
互联 网 公司 积极 拥抱 开源 ， 主 要 是 为 了 摆脱 设备 厂商 锁定 ， 基 于 自身 
的 业务 ， 能 够 主动 、 高 效 且 低 成 本 的 满足 对 设备 的 需求 ， 同 时 也 有 部 
分 新 兴 设备 厂商 探索 开源 ， 尝 试 打破 市 场 克 断 ， 但 是 大 设备 商 供给 全 
市 场 稳定 ， 开 源 动 力 不 足 。 

全 球 电信 行业 在 网 络 各 个 层面 开源 投入 积极 ， 生 态 多 样 . 电信 行 
业 开 源 生 态 履 盖 开 源 软 件 和 硬件 ， 其 中 开源 软件 发 展 尤为 繁荣 。 从 网 
络 数据 分 析 软 件 、 编 排 管理 策略 软件 等 上 层 应 用 软件 ， 到 构建 网 络 功 
能 的 NFV 软件 ， 再 到 虚拟 化 管理 、 网 络 控制 、 网 络 操作 系统 等 基础 
软件 ;都 有 大 量 的 开源 项 目 , 如 Acumos.Open-O、.OPNFV、OpenStack、 


ONOS、OpenSwitch 等 。 底 层 硬件 设计 也 有 一 些 开源 白 盒 项 目 ， 但 相 
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对 较 少 ， 例 如 由 Facebook 发 起 的 Open Compute Project 项 目 。 
软件 开源 、 
克 oma 
! 策略 ,Open-O 


2OPnFV 
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数据 来 源 : 根据 公开 资料 整理 ，2020 年 6 月 
图 34 电信 行业 开源 项 目 


电信 行业 与 互联 网 巨头 均 大 力 投 入 电信 和 领域 开源 项 目 投入 , 自 成 
生态 ， 例 如 AT&T 主导 多 个 主要 的 开源 项 目 ， 包 括 ONAP、DANOS 
等 , Google 开源 Stratum，Facebook 推动 成 立 OCP (开放 计算 项 目 )。 
针对 网 络 领域 的 开源 产业 协同 机 制 已 经 建立 ,包括 开源 基金 会 、 生 态 
社区 等 形式 ， 开 源 基金 会 主要 包括 LEFN (Linux 基金 会 )、OCP ( 开放 
计算 项 目 )、ONEF (开放 网 络 基 金 会 ) 等 ， 基 金 会 会 员 履 盖 了 全 球 超 
过 70% 的 电信 产业 链 土 的 玩家 ,其 项 目 覆 盖 基 础 设施 / 接 入 /承载 /核心 


网 ， 以 及 组 网 /虚拟 化 /编排 /自动 化 / 运 维 /分 析 /AI 边缘 计算 等 。 
表 5 电信 行业 开源 基金 会 



































LFN ONKF OCP TIP 

会 员 111 85 50 500+ 

项 目 12 19 包括 接 入 、 回 
传 、 核 心 





数据 来 源 : 公开 资料 整理 ，2020 年 7 月 
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我 国运 营 商 有 一 定投 入 意愿 ， 尚 处 于 跟随 状态 。 我 国运 营 商 、 设 
备 商 、 互 联网 企业 积极 参与 LFEN、OCP 等 电信 开源 组 织 ， 申 国 移动 
参与 O-RAN 开源 生态 ， 作 为 重要 贡献 者 助力 O-RAN 发 布 第 一 版 开 
源 软件 代码 ， 并 担任 O-CU 和 DOC 项 目 技术 领导 者 (PTL) 职 位 ; 中 
电信 明确 提出 在 网 络 重 构 过 程 中 优选 开源 技术 , 已 在 主流 开源 社区 建 
立 了 影响 力 , 成 功 入 选 OpenStack 黄金 会 员 ; 中 国联 通 参 与 CORD 项 
目 (ONF 组 织 推动 的 开源 边缘 计算 的 项 目 之 一 六 我 国运 营 商 和 厂商 
探索 主导 自主 开源 生态 ，2017 年 3 月 ， 中 国 移动 的 Open-O 项 目 和 
AT&T 的 Open-ECOMP 合并 ， 成 立 开 放 网 络 自动 化 平台 (ONAP ) 项 


三 


三) 政府 采购 行业 发 展开 源 看 重 公开 透明 

政府 采购 行业 信息 系统 的 特点 是 信息 系统 建设 费用 高 昂 ， 且 政府 
各 部 门 不 互通 共享 ， 资 源 利 用 率 低 ， 政 府 部 门 信息 科技 能 力 不 高 。 政 
府 采 购 行业 发 展开 源 看 重 公开 透明 , 一 方面 开源 可 以 有 效 解除 财源 软 
件 绑 定 ， 避 免 单 一 商业 软件 长 期 锁定 ， 另 一 方面 开源 代码 公开 透明 ， 
可 以 实现 多 部 门 复 用 ， 从 而 有 效 降 低 成 本 ， 提 升 资源 利用 率 。 

全 球 政府 采购 行业 利用 市 场 强制 过 引 作用 带动 开源 产业 发 展 。 全 
球 政府 柔 购 行业 开源 投入 有 限 ， 主 要 利用 市 场 强制 推进 开源 应 用 ， 建 
立 配 套 开源 配套 设施 ， 通 过 政府 采购 市 场 调动 开源 生态 。 在 利用 市 场 
强制 推进 开源 应 用 方面 ， 美 国联 邦 源 代码 政策 提高 政府 代码 复 用 率 ， 
降低 政府 采购 成 本 ， 联 邦 政府 每 年 在 软件 上 花费 数 十 亿美 元 ， 并 且 部 
门 之 间 采 购 的 软件 存在 重 二 ， 因 此 美国 联邦 源 代 码 政策 开展 2016 年 
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试点 项 目 , 规定 美国 政府 各 部 门 每 年 采购 的 软件 中 20% 的 代码 需 开源 ， 
供 政府 部 门 内 重复 使 用 ; 韩国 政府 采用 OpenOS 降低 对 闭 源 操作 系统 
的 使 用 ， 拟 在 2026 年 前 让 所 有 公共 机 构 和 地 方 政府 采用 OpenOS 系 
统 ， 有 效 减 少 采 购 商 业 操 作 系统 以 及 操作 系统 技术 支持 方面 的 开支 ; 
英国 政府 在 2019 年 发 布 的 最 新 版 《数字 服务 标准 》 第 12 条 要 求 政府 
部 门 公开 所 有 新 的 代码 ， 并 选择 合适 的 许可 证 开源 ， 英 国政 府 认 为 公 
共 服 务 是 由 公共 资金 建造 的 , 因此 这 部 分 涉及 的 代码 应 该 提供 给 人 们 
共享 和 重复 利用 ， 同 时 提高 政府 部 门 的 代码 重复 利用 率 ， 和 避免 重 复工 
作 并 降低 整个 政府 的 成 本 。 积极 布 局 开源 领域 投入 。 在 建立 开源 配套 
基础 设施 方面 ， 美 国 为 推动 政府 采购 行业 建立 开源 生态 ， 自 建 代 码 托 
管 平台 , 托管 政府 采购 软件 领域 的 开源 项 目 , 同时 建立 配套 打分 机 制 ， 
帮助 政府 部 门 选择 和 复 用 ， 开 源 代 码 扫 描 平 台 ， 保 证 开源 软件 引入 过 
程 中 的 风险 管理 。 

我 国政 府 采 购 行业 积极 探索 开源 合 规 使 用 。 我 国政 府 采 购 行业 侧 
重 开 源 使 用 管理 ， 对 于 Linux 操作 系统 的 采购 要 求 “采用 GNU 通用 
公共 许可 ， 详 细 说 明 所 投产 品 的 基础 linux 版 本 软件 掌握 程度 ， 对 原 
台 代 码 的 阅读 理解 程度 、 注 释 等 "， 其 它 领 域 软件 侧重 摸 清 是 否 基于 
开源 软件 ， 对 于 虚拟 化 及 虚拟 化 管理 软件 ， 要 求 “ 明 确 采用 开源 代码 
云 计算 社区 版 本 ， 经 测试 和 二 次 开发 后 ， 以 发 行 版 的 形式 将 软件 产品 
和 服务 提供 给 用 户 ， 包 括 计算 、 存 储 、 网 络 虚拟 化 以 及 虚拟 化 管理 功 


27? 


台 
了 。 


(四 ) 金融 机 构 开 源 看 重 产业 创新 力 和 市 场 布局 
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金融 行业 开源 动机 总 体 分 为 两 类 ， 一 是 看 重 开源 产品 的 创新 度 ， 
满足 金融 机 构 面临 业务 场景 的 新 需求 , 二 是 金融 机 构 信 息 科 技 部 门 逐 
渐 转 型 ， 探 索 用 开源 模式 建立 金融 服务 生态 。 

全 球 金融 机 构 开 源 协 同 模式 已 经 形成 。 金 融 行业 逐步 从 使 用 开源 
转向 开放 共享 ， 金 融 机 构 积极 投入 开源 生态 ， 建 立 具有 行业 属性 的 开 
源 基金 会 促进 产业 协同 ， 完 善 产 业 链 相 关 配 套 。 金 融 机 构 逐 步 探索 开 
源 模式 ， 受 开放 银行 、 金 融 科 技 大 的 发 展 背景 影响 金融 机 构 主 动 探 
索 自 发 开源 模式 ， 摩 根 大 通 作为 美国 最 大 的 金融 服务 机 构 之 一 在 
Github 上 发 布 Quorum 区 块 链 项 目 代 码 ， 高 厨 将 历时 14 年 开发 的 用 
于 帮助 用 户 访问 和 分 析 财 务 数 据 库 的 Alloy 平台 通过 FINOS 社区 开 
放 给 华尔街 . 金融 行业 开源 协同 机 制 已 经 建立 ,2016 年 金融 科技 开放 
源码 基金 会 (Fintech Openm Source Foundation ) 成 立 ， 其 核心 董事 会 成 
员 来 自 花 旗 集 团 、 摩 根 大 通 集团 、 红 帽 、GitHub 等 企业 ，FINOS 是 全 
球 首 个 专注 金融 领域 的 开源 基金 会 ，2020 年 与 Linux 基金 会 建立 合 
作 ， 目 前 基金 会 覆盖 不 同 组 织 的 开发 者 、 服 务 商 、 科 技 公 司 和 人 金融 机 
构 等 ， 会 员 数 超 过 30 个 ， 钱 化 项 目 11 个 ， 聚 集 行业 300 多 个 开源 贡 
献 者 。 

我 国 金融 机 构 使 用 开源 软件 增多 。 我 国 金 融 机 构 主 要 以 开源 用 户 
的 身份 存在 ， 是 开源 生态 的 重要 参与 者 ,但 与 国外 基金 会 对 接 存在 监 
管 合 规 等 多 重 屏障 . 开源 软件 使 用 仍 是 我 国 金融 机 构 参 与 开源 的 主要 
模式 .。 我国 金 融 机 构 已 经 从 购买 闭 源 软件 走向 使 用 开源 软件 ， 开 源 技 
术 应 用 覆盖 领域 广泛 ， 头 部 企业 开源 软件 使 用 数量 达到 1000 以 上 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 5 月 


图 35 金融 行业 开源 项 目 应 用 情况 


我 国 自 主 开 源 模式 仍 在 探索 . 我 国 金融 机 构 尝 试 参与 开源 生态 ,但 仍 
主要 以 用 户 身 份 存在 ， 民生 银 行 、 中 信和 银行 、 微 众 银行 等 已 加 入 Linux 
基金 会 ，2019 年 微 众 银行 将 其 研发 的 全 球 第 一 个 联邦 学 习 工 业 级 开 


源 框 架 Federated AI Technology Enabler(FATE) 捐 赠 给 Linux 基金 会 。 


六 、 开 源 风 险 问题 复 汪 ， 开 源 治 理 体系 正在 构建 


《一 ) 知识 产权 合 规 及 安全 漏洞 风险 相对 普遍 


开源 软件 可 能 涉及 三 类 风险 :知识 产权 及 合 规 风 险 、 安全 风险 、 运 


维和 技术 风险 , 其 中 知识 产权 及 合 规 风险 主要 与 开源 许可 证 的 规定 相 
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关 ， 安 全 风险 主要 涉及 安全 漏洞 等 问题 ， 运 维和 技术 风险 主要 指 因 开 
源 软 件 的 引入 导致 的 开发 运 维 投入 量 大 、 技 术 人 员 要 求 高 等 问题 。 


1. 开 源 知 识 产 权 及 合 规 风 险 

除法 律 法 规 的 保护 外 , 开源 软件 的 作者 或 权利 人 主要 是 通过 开源 
许可 证 对 其 知识 产权 进行 许可 与 约束 。 若 开源 软件 使 用 者 未 依照 相应 
的 开源 许可 证 来 使 用 开源 软件 , 将 可 能 侵犯 开源 软件 的 作者 或 权利 人 
的 知识 产权 。 

开源 许可 证 涉及 的 知识 产权 风险 较为 复杂 。 开 源 使 用 方 在 引入 开 
源 软件 时 ， 因 开源 许可 证 的 规定 或 变动 ， 可 能 面临 知识 产权 及 合 规 风 
险 ， 一 是 可 能 因 许可 证 的 传染 性 规定 被 迫 开 源 ， 如 : 根据 GPL 许可 
证 的 规定 ， 使 用 依 GPL 开源 的 软件 并 涉及 到 修改 和 分 发 ， 需 要 将 后 
续 修 改 代 码 全 部 开源 ; 二 是 商业 软件 是 否 遵守 开源 约定 未 知 ， 如 : 部 
分 商业 软件 基于 开源 进行 二 次 开发 后 以 闭 源 形式 提供 给 用 户 , 却 不 遵 
守 开 源 许 可 证 的 署名 要 求 ; 三 是 知识 产权 风险 易 被 忽略 ， 如 : BSD、 
MIT 和 GPL2.0 等 并 未 包含 明确 的 专利 许可 条 款 ， 许 可 用 户 使 用 软件 
所 包含 的 相关 专利 ; 四 是 开源 许可 证 之 间 可 能 不 兼容 ,如 : GPL 开源 
许可 证 在 GNU 的 网 站 上 详细 列 出 何 种 开源 许可 证 是 否 与 其 兼容 2; 五 
是 开源 软件 的 使 用 规则 存在 不 确定 性 , 如 : 2018 年 以 来 多 个 开源 软件 
开发 商 〈Redis 、MongoDB、Kafka 等 ) 已 经 对 其 过 去 使 用 的 开源 许 
可 证 进行 了 修改 ，Oracle 宣布 2019 年 1 月 以 后 发 布 的 Oracle Java SE 
8 公开 更 新 将 不 向 没有 商用 许可 证 的 业务 、 商 用 或 生产 用 途 提供 。 





2 https:Wwww.gnu.org/licenseslicense-list.en.html#GPLIncompatibleLicenses 
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热门 开源 项 目 开源 许可 证 风险 较为 普遍 。 经 信 通 院 通 过 开源 治理 
工具 扫描 显示 ， 容 器 运行 技术 领域 (Docker、RKT 和 ATA ))， Docker 
的 子 项 目 发 现 少量 使 用 传染 性 许可 证 的 开源 组 件 , 用 卢 在 使 用 过 程 中 
需要 关注 引入 、 修 改 、 分 发 方式 ， 判 断 可 能 的 违约 和 被 开源 风险 ; 容 
器 编排 技术 领域 (Kubermnetes、Swarm 和 Mesos )， 均 发 现 少量 使 用 传 
染 性 许可 证 的 开源 组 件 ;微服 务 框架 领域 (Dubbo、istio 和 Tars )， 均 
发 现 使 用 传染 性 许可 证 的 开源 组 件 ;:DevOPps 领域 ( Jankins 和 Ansible )， 
Jenkins 许可 证 存在 的 隐 含 风险 需 引 起 关注 ;无 服务 架构 领域 
(Openwhisk 和 Kubeless ), Openwhisk 许可 证 存在 的 传染 性 组 件 需 引 
起 关注 ;人 工 智能 领域 (TensorFlow、Keras 和 Pytorch )，TensorFlow 许 
可 证 存在 的 传染 性 组 件 需 引 起 关注 ;数据 库 领域 ，MySQL 许可 证 存在 
的 传染 性 组 件 需 引 起 关注 。 


2. 安 全 漏洞 风险 

由 于 开源 软件 具有 多 人 协作 完成 、 开 源 许可 证 存在 免责 条 款 等 特 
性 ， 企 业 在 使 用 开源 软件 时 必须 注意 数据 安全 及 隐私 风险 ,， 若 开源 软 
件 存 有 恶意 代码 、 病 毒 或 造成 隐私 泄露 ， 将 给 使 用 者 带 来 较为 严重 的 
危害 ， 需 要 跟踪 最 新 版 本 ， 及 时 修复 高 危 漏 洞 。 

热门 开源 项 目 存在 一 定 高 危 漏洞 。 容 器 运行 技术 领域 (Docker、 
RKT 和 KATA )，Docker 的 子 项 目 发 现 少量 高 危 和 超 高 危 开 源 组 件 漏 
洞 ; 容 器 编排 技术 领域 (Kubernetes、Swarm 和 Mesos )，Mesos 项 目 发 
现 超 高 危 和 高 危 漏 洞 数 量 较 多 ;微服 务 领域 ( Dubbo 、 istio 和 TARS )， 
均 发 现 高 危 漏 洞 ;DevOps 领域 (Jenkins 和 Ansible )，Jenkins 发 现 超 高 
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危 漏 洞 和 高 危 漏洞 ;无 服务 器 架构 领域 (Openwhisk 和 Kubeless ) 开源 
组 件 漏洞 情况 均 需 引起 关注 ;人 工 智能 领域 ,TensorFlow( TensorFlows 
Keras 和 Pytorch ) 漏洞 数量 较 多 ,风险 等 级 较 高 ;数据 库 领 域 , MySQL 
发 现 中 危 漏洞 。 


《二 ) 开源 法 律 和 知识 产权 环境 推动 开源 良性 发 展 

全 球 开源 法 律 及 知识 产权 相关 实体 机 构 兴 起 。 开 源 许 可 协议 规则 
制定 权 、 完善 的 知识 产权 法 律 服务 和 知识 产权 保护 制度 的 建立 共同 为 
开源 软件 发 展 提供 了 良好 的 法 律 环境 .OSI 从 开源 软件 许可 协议 入 手 ， 
结合 证 明 商标 ， 确 定 了 开源 许可 协议 标准 ， 通 过 教育 、 协 作 和 基础 设 
施 来 维护 社会 中 的 软件 自由 ,管理 开源 定义 ,防止 开源 运动 固有 的 理 
想 和 精神 的 滥用 ; SFLC 为 客户 提供 开源 法 律 咨询 服务 ， 提 供 自由 和 
开放 源码 软件 项 目 受 影响 的 所 有 法 律 领域 的 专业 知识 给 客户 , 包括 版 
权 、 专 利 、 商 标 和 非 盈 利 治理 ; OIN 是 全 球 最 大 的 专利 保护 社区 ， 成 
立时 获得 了 谷歌 、IBM、NEC、 飞 利 浦 、 索 尼 、SUSE 和 丰田 等 业内 
企业 的 大 力 支 持 ， 拥 有 3200 多 个 会 员 和 1300 多 项 全 球 专利 与 应 用 ， 
OIN 专 利 许可 和 会 员 的 专利 交叉 许可 对 所 有 OIN 社 区 会 员 免 费 开 放 。 

开源 许可 证 有 效 保证 开源 项 目 版 权 持 有 人 的 权利 , 开源 许可 证 明 
确 开 源 软 件 的 版 权 持 有 人 通过 许可 证 ， 授 予 用 户 可 以 学 习 、 使 用 、 修 
改 开源 软件 ， 并 向 任何 人 或 为 任何 目的 分 发 开源 软件 的 权利 。 目 前 全 
球 开 源 许可 证 上 千 种 ， 大 致 可 以 分 为 四 类 ， 开 放 型 开源 许可 证 
(Permiissive License， 如 : MIT、BSD ) 、 能 传染 型 开源 许可 证 (Weak 


Copyleft License， 如 : LGPL 2.1)、 传 染 型 开源 许可 证 (Copyleft 
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License， 如 : GPL 2.0)、 强 传染 型 开源 许可 证 (Strong Copyleft 
License, 如 : AGPL 3. 0) 。 目前 通过 0SI 认 证 的 开源 许可 证 共有 105 个 ， 
FSF 认 证 的 开源 许可 证 157 个 ; 各 国 纷纷 制定 适合 本 国 的 开源 许可 证 ， 
欧盟 制定 的 EUPL， 以 22 种 欧洲 语言 开发 ， 且 有 将 近 2 万 个 开源 项 目 使 
用 欧盟 公共 许可 证 。 根 据 WhiteSource Softwafre 报 告 显示 ，67% 的 开 


放 源 码 组 件 使 用 开源 许可 证 ， 相 比 去 年 增长 3%。 


《三 ) 开源 治理 工具 加 速 企 业 开源 治理 体系 构建 

全 球 开源 治理 工具 经 历 多 次 更 新 换代 。 开 源 治 理工 具 主要 以 开源 
组 成 和 安全 性 分 析 为 主 ， 通 过 扫描 开源 软件 梳理 开源 组 件 信息 、 开 源 
许可 证 信息 、 开 源 安 全 漏洞 信息 等 帮助 用 户 有 效 降低 开源 风险 ,全 球 
目前 主流 开源 治理 工具 厂商 大 多 起 源 于 国外 , 客户 遍布 全 球 且 占据 我 
国 大 部 分 市 场 份额 。 国 外 如 BlackDuck、X-RAY 等 开源 治理 工具 大 多 
侧重 开源 组 成 识别 功能 ,识别 原理 按照 对 识别 对 象 的 颗粒 度 不 同 大 臻 
分 为 开源 组 件 级 别 识别 和 开源 文件 及 代码 片段 级 别 , 侧重 开源 组 成 识 
别 。 

我 国安 全 厂商 探索 开源 治理 工具 。 近 几 年 国内 出 现 了 许多 开源 治 
理工 具 ， 从 技术 层面 来 看 ， 国 内 目前 市 场 上 的 开源 治理 工具 与 国外 此 
类 工具 的 技术 基本 保持 一 致 ， 从 发 展 层面 来 看 ,国内 开源 治理 工具 处 
于 快速 发 展 阶段 ， 在 扩大 国内 市 场 的 同时 也 在 积极 开拓 国际 市 场 。 国 
内 开源 治理 工具 厂商 多 由 安全 厂商 转型 ,如 奇 安 信 开 源 卫士 和 棱镜 


彩 FossEye 等 。 
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(四 ) 开源 治理 模式 逐步 落地 

全 球 开 源 企 业 组 建 开源 管理 办 公 室 统 筹 管理 。 根据 Linux 基金 会 
开源 办 公 室 调查 报告 显示 ,在 2,700 名 研究 参与 者 中 ,超过 一 半 (52% ) 
拥有 正式 或 非 正式 开源 项 目 办 公 室 或 正在 规划 创建 开源 管理 办 公 室 。 
谷歌 于 2004 年 在 内 部 成 立 开 源 项 目 办 公 室 ， 目 的 是 为 了 解决 使 用 开 
源 软 件 带 来 的 许可 证 和 代码 的 合 规 问题 , 办 公 室 的 重要 原则 之 一 就 是 
帮助 其 员工 使 用 开源 项 目 和 参与 开源 生态 。Twitter 于 2010 年 左右 发 
现代 码 许可 和 法 律 审查 与 开发 者 对 外 贡献 代码 之 间 的 平衡 导致 效率 
低下 ， 公 司 决定 聘用 开源 项 目 经 理 并 创建 开源 项 目 办 公 室 ， 通 过 引入 
工具 、 优 化 流程 等 方式 简化 步骤 ; 实现 了 开源 使 用 与 合 规 之 间 的 平衡 。 
该 办 公 室 目前 拥有 15 名 成 员 ， 负 责 跟踪 公司 范围 内 所 使 用 的 开源 项 
目 状 况 ， 服 务 于 7.2 万 员工 和 约 2000 ~ 4000 个 的 开源 项 目 。 

我 国 互联 网 企业 关注 自发 开源 治理 。 腾讯 内 部 成 立 开 源 管 理 小 组 ， 
该 组 织 经 腾讯 技术 管理 委员 会 授权 , 由 腾讯 研发 管理 职责 部 门 牵头 腾 
讯 法 务 、 合 规 、 专 利 、 安 全 等 相关 部 门 ， 整 合 为 开源 管理 小 组 ， 在 开 
源流 程 、 安 人 全、 风险、 建议 方面 对 腾讯 业务 提供 服务 。 在 腾讯 技术 管 
理 委员 会 的 授权 下 牵头 设立 了 “腾讯 开源 联盟 "， 由 不 同业 务 的 技术 
专家 、 负 责 人 、 技 术 领 袖 组 成 开源 联盟 组 委 会 和 专家 团 , 在 开源 文化 、 
开源 经 验 、 开 源 活 动 等 方面 对 开源 项 目 施 以 指导 和 帮助 。 

出 于 安全 要 求 ， 我 国 传统 行业 用 户 率先 探索 开源 引入 治理 。 农 业 
银行 、 浦 发 银行 、 太 平 洋 保险 、 中 信 银 行 等 均 已 构建 成 熟 开源 治理 体 
系 ， 从 研发 、 运 维 双 向 推动 。 研 发 侧 严 控 引 入 ， 把 控 开 源 软件 风险 ， 
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相 比 于 传统 商业 软件 ， 开 源 软件 数量 更 多 、 问 题 更 为 复杂 ， 研 发 侧 有 
必要 在 引入 开源 软件 或 代码 时 ， 严 格 把 控 风险 ， 实 现 开源 使 用 的 “可 
控 可 潮 "。 组 织 机 制 方 面 ， 明 确 企业 开源 治理 战略 ， 制 定 配套 的 开源 
治理 组 织 架构 或 开源 治理 分 工 ， 统 筹 规划 和 推动 企业 开源 治理 工作 . 
管理 制度 方面 ， 制 定 相关 制度 对 开源 软件 进行 统一 管理 ;对 开源 软件 
的 引入 、 使 用 、 更 新 、 退 出 的 全 流程 管理 做 出 明确 规范 ， 建 立 开 源 软 
件 全 生命 周期 的 风险 管控 机 制 。 支 撑 平台 方面 ， 建 设 配套 开源 软件 管 
理 支撑 平台 ， 实 现 流程 管理 、 社 区 信息 抓 取 。 软件 台 账 、 漏 润 跟踪 、 
软件 仓库 等 多 项 功能 , 有 效 提高 开源 软件 管理 效率 ; 运 维 侧 持续 投入 ， 
保证 安全 稳定 运行 ， 相 比 于 传统 商业 软件 ， 大 多 数 开源 软件 缺少 付费 
的 运 维 支 持 服务 ， 需 要 本 机 构 投 入 更 多 人 力 物 力 持续 维护 。 运 维 分 工 
方面 ， 按照 开源 软件 不 同 的 使 用 范围 和 影响 程度 进行 级 别 划分 ， 并 落 
实 后 期 维护 的 主体 责任 ,名单 管理 方面 ， 依 据 企业 内 部 应 用 和 维护 开 
源 软 件 的 实际 情况 ,制定 开源 软件 白 名 单 / 黑 名 单 ， 定 期 跟踪 名 单 中 开 


源 软 件 的 信息 变动 情况 ， 及 时 进行 反馈 和 更 新 。 





过 程 
维度 

















能 力 


维度 “组织 机 制 管理 制度 风险 管理 











数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 2 月 
图 36 开源 治理 架构 图 


七 、 开 源 生态 未 来 发 展 趋势 与 建议 


(一 ) 开源 生态 未 来 发 展 趋势 
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开源 从 个 人 行为 逐渐 发 展 成 为 企业 行为 , 开源 虽 起 源 于 个 人 行为 ， 
但 由 于 开源 的 协作 模式 和 产品 特点 ， 影 响 商 业 产品 的 市 场 格 局 ， 企 业 
层面 逐渐 借助 开源 模式 实现 市 场 布 局 ， 企 业 层面 通过 主动 布局 开源 ， 
减低 边界 成 本 ， 引 导 事实 标准 ， 改 变 市 场 竞争 格局 ， 同 时 豚 纳 多 方 参 
与 ， 激 发 产品 创新 ， 满 足 用 户 多 场景 需求 ; 国内 逐步 主动 布局 基础 软 
件 领域 开源 生态 , 国内 早期 开源 生态 发 展 最 早 集中 在 应 用 侧 开发 软件 
领域 , 虽 开源 项 目 数量 百 万 级 别 , 但 共有 国际 影响 力 的 开源 项 目 不 足 ， 
近年 来 国内 企业 逐渐 侧重 基础 软件 领域 开源 项 目 布局 ， 在 操作 系统 、 
数据 库 、 中 间 件 等 领域 涌现 多 个 开源 项 目 ， 不 乏 国 际 基金 会 的 顶级 开 
源 项 目 。 

基金 会 与 联盟 开源 运营 呈现 多 态 发 展 趋势 .开源 联盟 组 织 将 持续 
推进 与 企业 的 开源 运营 合作 ;我 国 开源 基金 会 逐步 形成 稳定 流程 机 制 ， 
国内 开源 联盟 组 织 相 对 灵活 ， 敌 善 主要 技术 领域 ， 可 借助 联盟 标准 化 
与 行业 推广 优势 ， 推 动 我 国 自发 开源 项 目 应 用 ; 国际 仍 以 开源 基金 会 
作为 主要 运营 载体 ， 为 开源 项 目 运营 提供 有 力 法 律 、 协 作 支 撑 ， 建 立 
与 国内 外 开源 组 织 、 标 准 化 组 织 建立 联动 机 制 ， 推 动 开源 项 目 建立 生 


太 


开源 风险 问题 得 到 关注 ， 开 源 治 理 体系 逐步 建立 。 开 源 项 目 虽 
最 终 形 成 软件 、 硬 件 等 最 终 形 态 ， 但 需要 满足 开源 许可 证 要 求 ， 相 
比 通用 软件 具有 一 定 的 使 用 范围 和 规则 要 求 。 未 来 开源 风险 问题 进 
一 步 四 显 ， 开 源 应 用 情况 逐渐 透明 ， 开 源 违 约 、 兼 容 性 、 被 开源 等 
风险 进一步 又 露 ， 全 球 开 源 违 约 判例 可 能 进一步 增加 ， 企 业内 部 逐 
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步 建立 开源 治理 体系 应 对 开源 风险 ， 通 过 开源 管理 机 制 及 平 合 规避 
开源 风险 。 
行业 开源 生态 兴起 。 行 业 用 户 在 开源 生态 的 角色 逐渐 发 生 转 

变 ， 从 开源 使 用 到 自发 开源 发 展 ， 金 融 、 工 业 互联 网 电信 、 政 府 
采购 等 行业 逐渐 探索 行业 内 开源 生态 构建 ， 将 企业 内 部 信息 建设 代 
码 脱 敏 输出 ， 借 助 开 源 公 开 透 明 的 特点 快速 和 迭代， 形成 满足 行业 属 
性 的 特定 开源 项 目 ， 逐 步 形成 行业 开源 协作 机 制 ,实现 行业 输出 战 
略 布局 。 


《二 ) 我 国 开源 生态 发 展 建议 

企业 侧 建 立 稳定 的 开源 模式 。 我 国 自 发 开源 企业 需要 建立 稳定 的 
开源 商业 模式 ， 一 是 针对 国际 基金 会 顶级 开源 项 目 ， 建 立 社区 反馈 
联动 机 制 ; 二 是 建立 自主 开源 生态 ， 重 点 在 操作 系统 、 数 据 库 、 中 间 
件 等 基础 软件 领域 探索 开源 。 

第 三 方 快 速 完善 开源 运营 机 制 。 一 是 国内 开源 联盟 组 织 持 续 推 进 
与 企业 的 开源 运营 合作 ,借助 联盟 标准 化 与 行业 推广 优势 ,推动 我 国 
自发 开源 项 目 应 用 ; 三 是 开源 基金 会 形成 稳定 的 决策 机 制 ， 项 目 敌 化 
流程 ,为 国内 开源 项 目 运营 提供 有 力 知识 产权 托管 以 及 法 律 、 协 作 支 
撑 。 

构建 开源 治理 体系 。 针 对 自发 开源 企业 、 开 源 使 用 企业 建立 开源 
软件 管理 体系 ， 第 三 方 组 织 需 制 定 开 源 软件 治理 的 行业 标准 ， 通 过 制 
定 开 源 软 件 管理 规则 ， 帮 助 企 业 规 范 开源 软件 的 使 用 和 输出 ， 实 现 企 
业 软 件 的 全 履 盖 和 全 流程 管理 ， 同 时 配套 建设 开源 风险 检测 、 开 源 生 
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态 监测 等 平 合 ， 推 动 企 业 落 地 开源 治理 体系 建设 。 
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附录 一 : 开源 软件 风险 扫描 

本 白皮书 选取 开源 卫士 、BlackDuck 和 FossEye 国内 外 三 款 工具 
对 软件 源 代 码 进行 扫描 ， 设 置 规则 为 : 以 开源 组 件 为 单位 进行 识别 和 
展示 ， 展 示 三 款 工具 对 同一 个 开源 软件 的 扫描 结果 ,包括 开源 组 件数 
量 ， 开 源 许 可 证 分 类 及 数量 ， 开 源 漏 洞 分 级 及 数量 。 其 中 开源 许可 证 
按照 传染 性 的 不 同 分 为 友好 、 能 传染 性 、 传 染 性 和 强 传染 性 四 类 ， 另 
外 未 匹配 到 的 许可 证 类 型 称 为 未 知 许可 证 ; 开源 漏洞 按照 严重 程度 分 
为 低 危 、 中 危 、 高 危 和 超 高 危 四 类 。 因 为 不 同 扫描 工具 对 组 件 颗 粒度 
的 定义 不 同 , 对 开源 项 目 依 赖 项 的 探测 能 力 不 同 导致 扫描 结果 存在 差 
异 ， 本 白皮书 仅 展示 自动 扫描 结果 ， 无 人 为 修改 ， 结 果 仅 供 人 参考 。 


(一 ) 许可 证 及 合 规 风险 

本 白皮书 对 企业 选择 最 多 的 三 个 开源 容器 运行 技术 (Docker、 
RKT 和 KATA ) 进行 扫描 ， 结 果 显 示 : Docker 的 子 项 目 中 A 工具 共 
识别 出 1 个 组 件 带 有 传染 性 许可 证 ，B 工具 共识 别 出 1 个 组 件 带 有 传 
染 性 许可 证 ，C 工具 共识 别 出 4 个 组 件 带 有 传染 性 许可 证 ;  RKT 和 
KATA 两 个 项 目 暂 未 发 现 使 用 传染 性 许可 证 的 开源 组 件 。 
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docker 


数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 37 容器 运行 技术 领域 开源 许可 证 风险 情况 


本 白皮书 对 企业 选择 最 多 的 三 个 开源 容器 编排 技术 (Kubernetes、 
Swarm 和 Mesos ) 进行 扫描 ， 结 果 显 示 : Kubernetes 项 目 中 也 工具 共 
识别 出 1 个 开源 组 件 带 有 传染 性 许可 证 ,1 个 开源 组 件 带 有 强 传染 性 
许可 证 ; swarm 项 目 中 B 工具 共识 别 出 2 个 开源 组 件 带 有 传染 性 许 
可 证 ，2 个 开源 组 件 带 有 强 传染 性 许可 证 ; mesos 项 目 中 A 工具 识别 
出 2 个 开源 组 件 带 有 传染 性 许可 证 ，B 工具 识别 出 8 个 开源 组 件 带 有 
传染 性 许可 证 ，1 个 开源 组 件 带 有 强 传染 性 许可 证 ，C 工具 识别 出 1 
个 开源 组 件 带 有 传染 性 许可 证 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 38 容器 编排 技术 领域 开源 许可 证 风险 情况 


本 白皮书 对 企业 选择 最 多 的 三 个 开源 微服 务 框 架 技 术 〈Dubbo、 
istio 和 Tars ) 进行 扫描 ， 结 果 显 示 : Dubbo 项 目 中 ，A 工具 共识 别 出 
1 个 开源 组 件 带 有 传染 性 许可 证 ，B 工具 共识 别 出 42 个 开源 组 件 带 
有 传染 性 许可 证 ,C 工具 共识 别 出 43 个 开源 组 件 带 有 传染 性 许可 证 ; 
istio 项 目 中 ，B 工具 共识 别 出 8 个 开源 组 件 带 有 传染 性 许可 证 ; Tars 
项 目 中 ，B 工具 共识 别 出 6 个 开源 组 件 带 有 传染 性 许可 证 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 39 微服 务 框架 领域 开源 许可 证 风险 情况 


本 白皮书 对 企业 选择 较 多 的 2 个 DevOps 领域 开源 软件 《Jenking 
和 Ansible ) 进行 扫描 ， 结 果 显 示 : Jenkins 项 目 中 ， 也 工具 共识 别 出 
13 个 开源 组 件 带 有 传染 性 许可 证 ，1 个 开源 组 件 带 有 强 传染 性 许可 
证 ，C 工具 识别 出 6 个 开源 组 件 带 有 传染 性 许可 证 ; Amnsible 项 目 三 
款 工具 均 未 检测 出 带 有 传染 性 开源 许可 证 的 开源 组 件 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 40 DevOps 领域 开源 许可 证 风险 情况 


本 白皮书 对 企业 选择 较 多 的 2 个 无 服务 架构 领域 开源 软件 
(COpenwhisk 和 Kubeless ) 进行 扫描 ， 结 果 显 示 : 在 Openwhisk 项 目 
中 ，A 工具 识别 出 1 个 开源 组 件 带 有 传染 性 开源 许可 证 ，B 工具 识别 
出 2 个 开源 组 件 带 有 传染 性 开源 许可 证 ，1 个 开源 组 件 带 有 强 传染 性 
开源 许可 证 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 41 无 服务 器 架构 领域 开源 许可 证 风险 情况 


本 和 白皮书 对 企业 选择 较 多 的 .3 个 大 工 智能 领域 开源 软件 
(TensorFlow、Keras 和 Pytorch ) 进行 扫描 ， 结 果 显 示 : TensorFlow 
项 目 中 ，A 工具 识别 出 1 个 开源 组 件 带 有 传染 性 开源 许可 证 ，B 工具 
识别 出 29 个 开源 组 件 带 有 传染 性 开源 许可 证 ，3 个 开源 组 件 带 有 强 
传染 性 开源 许可 证 C 工具 识别 出 14 个 开源 组 件 带 有 传染 性 开源 许可 
证 ; Ketas 项 目 中 ， 三 款 工具 均 未 检测 出 带 有 传染 性 开源 许可 证 的 开 
源 组 件 ; Pytorch 项 目 中 ， 三 款 工具 均 未 检测 出 带 有 传染 性 开源 许可 
证 的 开 涯 组 件 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 42 人 工 智能 领域 开源 许可 证 风险 情况 


本 白皮书 对 企业 选择 较 多 的 1 个 数据 库 领 域 开源 软件 MySQL 进 
行 扫描 ， 结 果 显 示 : MYSQL 项 目 中 ，A 工具 识别 出 2 个 开源 组 件 带 
有 传染 性 开源 许可 证 ，B 工具 识别 出 工 个 开源 组 件 带 有 传染 性 开源 许 
可 证 ，C 工具 识别 出 2 个 开源 组 件 带 有 传染 性 开源 许可 证 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 43 数据 库 领 域 开源 许可 证 风险 情况 


(三 ) 安全 漏洞 风险 
本 白皮书 对 企业 选择 最 多 的 三 个 开源 容器 运行 技术 ( Docker、 


6 


开源 生态 白皮书 (2020 年 ) 








RKT 和 KATA ) 进行 扫描 ， 结 果 显 示 : Docker 的 子 项 目 中 A 工具 共 
识别 出 1 个 超 高 危 漏 洞 、1 个 高 危 漏 洞 和 1 个 中 危 漏洞 ，B 工具 共识 
别 出 15 个 中 危 漏洞 和 8 个 低 危 漏洞 ，C 工具 共识 别 出 工 个 超 高 危 漏 
洞 、1 个 高 危 漏 洞 和 6 个 中 危 漏洞 ; RKT 项 目 中 ,B 开具 识别 出 3 个 
低 危 漏洞 ; KATA 项 目 暂 未 发 现 开 源 漏 洞 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 44 容器 运行 技术 领域 开源 漏洞 风险 情况 


本 白皮书 对 企业 选择 最 多 的 三 个 开源 容器 编排 技术 (Kubernetes、 
Swarm 和 Mesos ) 进行 扫描 ， 结 果 显 示 : Kubernetes 项 目 中 A 工具 共 
识别 出 6 个 超 高 危 漏 洞 、6 个 高 危 漏 洞 、8 个 中 危 漏 洞 和 1 个 低 危 漏 
洞 ，B 工具 共识 列 出 30 个 中 危 漏洞 和 51 个 低 危 漏洞 ，C 工具 共识 别 
出 11 个 高 危 漏 洞 、16 个 中 危 漏 洞 和 2 个 低 危 漏洞 ; swarm 项 目 中 未 
发 现 开 源 漏洞 ; Mesos 项 目 中 A 工具 识别 出 5 个 超 高 危 漏洞 、5 个 高 
危 漏 洞 、10 个 中 危 漏 洞 和 1 个 低 危 漏洞 ，B 工具 识别 出 1 个 高 危 漏 
洞 .24 个 中 危 漏 洞 和 41 个 低 危 漏洞 ,C 工具 识别 出 9 个 超 高 危 漏 洞 、 
49 个 高 危 漏 洞 和 57 个 中 危 漏洞 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 45 容器 编排 技术 领域 开源 漏洞 风险 情况 


本 白皮书 对 企业 选择 最 多 的 三 个 开源 微服 务 框 架 技 术 (Dubbo、 
istio 和 TARS ) 进行 扫描 ， 结 果 显 示 :; Dubbo 项 目 中 ，A 工具 共识 别 
出 34 个 超 高 危 漏 洞 、32 个 高 危 漏 洞 、30 个 中 危 漏 洞 和 20 个 低 危 漏 
洞 ，B 工具 共识 别 出 7 个 高 危 漏 洞 、115 个 中 危 漏 洞 和 358 个 低 危 漏 
洞 ，C 工具 共识 别 出 60 个 超 高 危 漏 洞 、46 个 高 危 漏洞 、62 个 中 危 漏 
洞 和 8 个 低 危 漏洞 ; istio 项 目 中 ，A 工具 识别 出 11 个 中 危 漏 洞 ，B 工 
具 共 识别 出 1 个 高 危 漏 洞 、22 个 中 和 危 漏洞 和 10 个 低 危 漏 洞 ，C 工具 
共识 别 出 6 个 高 危 漏 油 和 27 个 中 危 漏洞 ; TARS 项 目 中 , B 工具 共识 


别 出 73 个 中 危 漏洞 和 129 个 低 危 漏洞 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 46 微服 务 领域 开源 漏洞 风险 情况 


本 白皮书 对 企业 选择 较 多 的 2 个 DevOPps 领域 开源 软件 (Jenkins 
和 Ansible ) 进行 扫描 ， 结 果 显 示 : Jenkins 项 目 中 ，A 工具 共识 别 出 
14 个 超 高 危 漏 洞 、13 个 高 危 漏 洞 、21 个 中 危 漏洞 和 1 个 低 危 漏洞 ， 
B 工具 共识 别 出 2 个 高 危 漏 洞 、37 个 中 危 漏洞 和 30 个 低 危 漏洞 ，C 
工具 共识 别 出 2 个 超 高 危 漏 洞 、12 个 高 危 漏洞 和 25 个 中 危 漏 洞 ; 
Ansible 项 目 三 款 工具 均 未 检测 出 开源 漏洞 。 
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数据 来 源 : 中 国信 息 通 信 研 究 院 ，2020 年 4 月 
图 47 DevOps 领域 开源 漏洞 风险 情况 


本 白皮书 对 企业 选择 较 多 的 2 个 无 服务 架构 领域 开源 软件 
(COpenwhisk 和 Kubeless ) 进行 扫描 ， 结 果 显 示 : 在 ,Openwhisk 项 目 
中 ，A 工具 识别 出 6 个 中 危 漏 洞 和 2 个 低 危 漏洞 ，B 工具 识别 出 10 
高 危 漏 洞 、143 个 中 危 漏 洞 和 195 个 低 危 漏洞 ，C 工具 共识 别 出 35 
个 超 高 危 漏 洞 、21 个 高 危 漏 洞 、21 个 中 危 漏洞 和 2 个 低 危 漏洞 ; 在 
Kuberless 项 目 中 ，A 工具 识别 出 1 个 超 高 危 漏 洞 和 工 个 低 危 漏洞 ，B 


工具 识别 出 2 个 中 危 漏洞 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 48 无 服务 器 架构 领域 开源 漏洞 风险 情况 


本 白皮书 对 企业 选择 较 多 的 3 个 人 工 智能 领域 开源 软件 
(TensorFlow、Keras 和 Pytorch ) 进行 扫描 ， 结 果 显 示 : TensorFlow 
项 目 中 ,全 工 共识 别 出 34 个 超 高 危 漏 洞 、33 个 高 危 漏 洞 、65 个 中 危 
漏洞 和 8 个 低 危 漏洞 ，B 工具 识别 出 12 个 高 危 漏洞 、131 个 中 危 漏 
洞 和 96 个 低 危 漏洞 , C 工具 识别 出 7 个 超 高 危 漏 洞 .18 个 高 危 漏洞 、 
44 个 中 和 危 漏 洞 和 2 个 低 危 漏 洞 ;Ketas 项 目 中 ，A 工具 识别 出 4 个 中 


10 





开源 生态 白皮书 (2020 年 ) 


危 漏洞 ，B 工具 识别 出 1 个 中 危 漏洞 ; Pytorch 项 目 中 ， 三 款 工具 均 
未 检测 出 开源 漏洞 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 49 人 工 智能 领域 开源 漏洞 风险 情况 


本 白皮书 对 企业 选择 较 多 的 工 个 数据 库 领 域 开 源 软件 MySQL 进 


行 扫 朱 ， 结 果 显 示 : MySQL 项 目 中 ， 了 工具 识别 出 2 个 中 危 漏洞 。 
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数据 来 源 : 中 国信 息 通信 研究 院 ，2020 年 4 月 
图 50 数据 库 领 域 开源 漏洞 风险 情况 


附录 三 : 企业 开源 治理 案例 
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《一 ) 浦发 银行 开源 治理 业 例 

1. 概述 

伴随 着 金融 行业 数字 化 转型 的 强烈 需求 ， 越 来 越 多 的 银行 应 用 系 
统 会 构建 在 开源 软件 之 上 ， 并 享受 其 带 来 的 定制 灵活 、 功 能 丰富 、 闪 
代 快 速 、 人 才 资 源 集中 等 好 处 。 但 同时 ， 开 源 软 件 有 别 于 商用 软件 ， 
其 安全 性 、 可 靠 性 、 可 维护 性 以 及 许可 遵从 都 会 给 银行 科技 建设 带 来 
新 的 挑战 。 银 行 需要 在 技术 上 、 社 区 上 、 法 务 上 全 面 评 估 和 把 控 开 源 
软件 使 用 风险 。 浦发 银行 根据 自身 特点 建设 了 开源 技术 治理 体系 ,为 
未 来 自主 、 高 效 、 安 全 地 使 用 开源 软件 提供 技术 和 制度 上 的 保证 。 

2. 开源 治理 体系 建设 

浦发 银行 开源 治理 体系 是 一 套 帮 助 浦发 银行 安全 、 合 规 、 可靠 、 
高 效 地 评估 和 使 用 开源 软件 、 管 理 开源 软件 资产 、 把 控 开 源 软 件 使 用 
中 的 安全 风险 的 方法 论 和 实践 。 主 要 包含 以 下 五 部 分 内 容 : 

(1) 开源 治理 的 配套 组 织 机 制 。 指 组 织 架 构 或 开源 治理 分 工 ， 
制定 开源 治理 战略 和 开源 治理 流程 , 统筹 规划 和 推动 企业 开源 治理 工 
作 ， 包 括 开源 管理 、 软 件 维护 、 安 全 支持 、 法 律 支持 等 。 

浦发 银行 内 部 组 建 开 源 治理 组 织 架 构 , 发 布 开源 治理 规程 .目前 ， 
浦发 银行 开源 治理 组 织 架 构 分 为 : 开源 治理 团队 、 开 源 专 业 团 队 、 开 
源 安 全 团队 、 开 源 法 务 团队 (〈 待 建 )。 

。 开源 治理 团队 : 主要 负责 制定 和 执行 开源 软件 应 用 管理 规则 

及 开源 软件 日 常 管理 工作 。 同 时 ， 开 源 治 理 团队 熟悉 开源 软 
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件 社区 的 各 种 指标 含义 和 获取 方法 ， 有 效 保证 了 开源 软件 社 
区 信息 获取 和 评估 的 效率 。 

(2 ) 开源 治理 的 配套 管理 流程 制度 。 制 定 相关 管理 制度 对 开 尖 
软件 的 合 规 使 用 进行 管控 ,包括 引入 、 使 用 、 风 险 管理 、 更 新 、 退 出 
的 全 生命 周期 的 流程 管理 

(3 ) 开源 软件 评估 评价 机 制 。 一 套 适 合 于 金融 行业 业务 和 管理 
特点 的 开源 软件 评估 评价 方法 , 用 于 指导 开源 软件 在 银行 的 引入 和 选 


届 


浦发 银行 依据 E- OSMM (Enterprise Open Source Maturity ModeD) 
模型 以 及 华为 开源 治理 的 成 功 经 验 ;， 结 台 银行 行业 特色 以 及 浦发 银行 
自身 需求 ， 形 成 了 一 套 开源 软件 评估 体系 。 
(4) 开源 软件 治理 支撑 平 合 。 一 个 用 于 支撑 开源 软件 治理 的 平 
侣 系统， 是 整个 开源 治理 工作 高 效 运行 的 技术 保障 。 

开源 治理 流程 在 源头 上 控制 了 高 风险 开源 软件 版 本 的 引入 ， 有 
效 收 往 了 浦发 银行 应 用 开源 软件 的 种 类 和 版 本 , 得 查 并 拒绝 了 社区 发 
展 前 景 不 佳 的 开源 软件 。 对 于 已 经 投入 使 用 的 开源 软件 ， 也 能 够 持续 
跟踪 防 邵 其 安全 风险 。 

(S$ ) 金融 行业 开源 技术 应 用 社区 。 一 个 非 盈 利 性 的 组 织 ， 旨 在 
通过 信息 共享 ， 推 动 开源 技术 和 软件 在 金融 行业 内 安全 可 靠 的 使 用 。 
3. 总 结 

浦发 银行 从 无 到 体系 化 了 开源 治理 工作 ， 并 和 行内 软件 项 目 流 

程 相 结合 实现 了 落地 运行 ,形成 了 包括 相应 工具 平台 在 内 的 工作 机 制 。 
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同时 ， 浦 发 银行 发 起 成 立 了 金融 行业 开源 技术 应 用 社区 ,社区 成 员 多 
为 金融 机 构 。 浦 发 银行 面向 社区 内 部 开源 了 开源 治理 平 合 ， 有 效 帮 助 
社区 成 员 快速 获取 开源 治理 能 力 , 解决 了 金融 行业 开源 软件 管理 痛 点 ， 
促进 行业 内 开源 软件 安全 可 靠 使 用 。 浦发 银行 赁 借 这 套 开源 治 理 体系 
和 相应 实践 ， 获 得 了 中 国 通信 标准 化 协会 (CCSA) 的 开源 治理 能 力 
认证 ,成 为 首 批 获得 该 认证 的 金融 机 构 。 同 时 ， 也 获得 了 OSCAR ( 云 
计算 开源 产业 联盟 ) 尖峰 开源 用 户 奖 。 后 续 浦 发 将 基于 行内 开源 治理 
需求 和 实践 ， 继 续 完善 开源 治理 研究 。 


《二 ) 中 信和 银行 开源 治理 案例 

1、 概 述 

随 着 开源 软件 漏洞 频 发 、 监 管 要 求 的 相继 出 台 ， 中 信和 银行 对 开 肖 
治理 工作 也 更 加 重视 。2020 年 3 月 发 布 开源 治理 细则 ， 组 建 开源 治 
理 团 队 , 对 开源 软件 全 生命 周期 进行 管控 。 目前 中 信和 银行 按照 先 梳理 ， 
再 治理 的 整体 思路 ,逐步 建 立 开 源 治 理 体系 ， 最 终 实现 开源 软件 的 分 
级 分 类 管理 、 统 一 版 本 、 统 一 发 布 和 安全 可 控 。 

2、 开 源 治 理 团 队 的 角色 划分 及 职责 如 下 : 

软件 开发 中 心 作为 开源 软件 的 实施 部 门 ， 下 设 

开源 软件 使 用 员 : 负责 提出 开源 软件 管理 全 流程 的 申请 ， 并 参与 
评审 ; 负责 开源 软件 管理 全 流程 测评 方案 和 计划 的 制定 实施 ， 并 参与 
评审 ; 负责 向 开源 软件 分 类 管理 员 报 送 开源 软件 的 使 用 情况 及 服务 供 
应 商 的 技术 支持 情况 

开源 软件 分 类 管理 员 : 负责 制定 和 发 布 开源 软件 管理 全 流程 相关 
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模版 ; 负责 参与 开源 软件 主管 部 门 组 织 的 评审 ; 负责 组 织 开 源 软 件 引 
入 的 测评 工作 ， 根 据 开源 软件 类 型 ， 从 专家 资源 池 中 选择 相应 专家 s 
对 《开源 软件 测评 方案 和 计划 》 进 行 评 审 ; 负责 组 织 收集 和 登记 所 辖 
开源 软件 的 使 用 情况 、 性 能 和 安全 问题 及 服务 供应 商 的 技术 支持 情况 

开源 软件 归口 管理 员 : 作为 归口 角色 向 开源 软件 主管 部 门 提出 开 
源 软 件 管理 全 流程 的 申请 ; 负责 建立 和 维护 开源 软件 制品 库 ， 做 好 开 
源 软 件 、 组 件 的 介质 管理 和 版 本 管理 。 
开源 软件 审批 困 队 : 由 各 领域 推荐 技术 专家 ， 共 同 维护 开源 软件 评审 
专家 资源 池 。 

3、 开 源 软 件 引 入 与 升级 管理 : 

开源 引入 分 级 : 依据 开源 扫 措 结果; 将 符 引 入 的 开源 软件 按照 使 
用 范围 和 影响 程度 进行 分 级 六 不同 级 别 的 开源 软件 引入 周期 不 同 。 

开源 引入 流程 : 较 低 级 别 的 开源 软件 进行 线 上 会 签 评 审 并 编写 测 
评 报告 和 试用 报告 ; 中 高 级 别 的 开源 软件 需要 分 类 管理 员 组 织 领域 专 
家 对 测评 计划 和 测试 案例 进行 线 下 评审 ， 审 核 通过 后 进入 试用 期 ， 试 
用 期 结束 后 针对 开源 测评 报告 和 试用 报告 进行 准 入 评审 , 并 明确 自主 
掌控 部 门 和 和 运 维 部 门 。 准 入 评审 会 议 通 过 后 ,开源 软件 分 类 管理 员 负 
责 组 织 编写 使 用 手册 和 优化 建议 , 开源 软件 归口 管理 员 负责 将 安装 介 
质 纳 入 开源 软件 制品 库 进 行 管理 ， 将 文档 纳入 知识 库 进 行 管理 。 

开源 软件 升级 流程 : 开源 软件 的 大 版 本 视 为 不 同 软件 ,在 引入 新 
的 大 版 本 时 ， 需 要 重新 进行 软件 准 入 流程 (需求 申请 、 测 评 、 评 审 )。 
对 需要 二 次 开发 后 方 可 使 用 的 开源 软件 , 开源 软件 使 用 员 需 在 引入 后 
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立即 提起 二 次 开发 流程 。 

未 来 ， 中 信和 银行 会 在 开源 治理 的 道路 上 不 断 探 索 ， 持 续 学 习 业 界 
先进 经 验 ， 在 增强 开源 管控 能 力 的 同时 ， 进 一 步 提 升 开 源 影 响 力 、 
献 力 ， 拥 抱 开 源 ， 回 馈 开 源 。 


三) 中 国 银 行 开源 应 用 案例 

中 国 银行 大 数据 监控 平台 基于 开源 ZABBIX 用 于 对 各 个 大 数据 
组 件 集群 集中 监控 。 监控 的 指标 项 一 部 分 是 从 官方 指标 中 挑选 的 主要 
指标 ， 一 部 分 是 对 组 件 原 生 指 标 进 行进 一 步 加 工 后 的 指标 。 这 些 展 示 
一 方面 可 以 简要 表明 集群 的 状态 , 另 一 方面 避免 了 部 分 指标 需要 手工 
命令 查询 的 时 间 消 耗 ， 并 且 能 集中 展示 ,方便 运 维 人 员 快 速 查找 ， 同 
时 也 可 以 协助 开发 人 员 确定 应 用 程序 的 性 能 

Zabbix-agent 部 署 在 被 监控 的 主机 上 ,负责 定期 收集 各 项 数据 ， 
并 发 送 至 zabbix-server 端 ， 之 后 zabbix 会 将 数据 存储 到 数据 库 
database 中 ; 使 用 Zabbix API 提供 的 可 编程 接口 获取 监控 数据 、 通 过 
Http 协议 获取 主机 配置 信息 ， 一 并 保存 到 本 地 数据 库 TiDB 中 ; 后 端 
读 取 数据 并 进行 分 析 , 构建 服务 将 结果 发 送 至 前 端 , 前 端 发 送 Ajax 请 
求 获取 响应 并 展示 数据 。 


《四 ) 中 兴 开 源 治理 业 例 

为 了 满足 公司 产品 研发 不 断 增 长 的 需求 , 解决 提升 质量 和 开发 效 
率 的 了 矛盾; 大量 的 开源 软件 被 引入 到 产品 的 研发 过 程 以 及 产品 本 身 之 
中 。 为 了 确保 使 用 开源 软件 的 产品 版 本 对 外 合 规 分 发 ， 有 效 的 应 对 和 
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管控 各 类 风险 ， 中 兴 通 讯 制定 了 一 整套 的 开源 软件 治理 机 制 。 

中 兴 通 讯 制定 了 《开源 软件 管理 规范 》 作 为 开源 软件 治理 的 纲领 
性 文件 . 此 规范 在 以 下 各 方面 对 开源 软件 在 公司 内 的 全 生命 周期 进行 
了 规定 。 此 规 苑 在 相应 的 IT 工 共 系统 的 支撑 下 , ,形成 了 完善 的 开源 
软件 管理 和 治理 机 制 。 

1、 概 述 

中 兴 通 讯 的 开源 治理 主要 希望 达到 的 目的 是 : 管控 开源 软件 的 引 
入 ， 确 保 产 品 项 目 尽量 使 用 主流 的 、 相 对 成 熟 的 、 风 险 相 对 较 小 的 开 
源 软 件 . 不 允许 开发 人 员 随 意 引入 不 可 靠 的 开源 软件 ; 公司 内 使 用 的 
同一 个 开源 软件 的 同一 个 版 本 的 代码 和 制 蝇 的 来 源 相 同 。 这 可 以 防止 
产品 开发 人 员 从 非 官 方 托管 地 等 不 可 靠 的 地 方 下 载 可 能 存在 病毒 等 
恶意 隐患 的 代码 和 制品 。 同时 对 开源 软件 严重 漏洞 的 自 研修 改 方案 可 
以 快速 的 在 所 有 产品 上 生效 ;及 时 发 现 产 品 因 使 用 开源 软件 引入 的 漏 
洞 并 加 以 治理 ; 确保 产品 对 外 发 布 时 涉及 开源 软件 部 分 的 合 规 使 用 和 
分 发 。 为 此 ， 中 兴 通 讯 建 立 了 一 整套 开源 软件 相关 的 制度 ， 自 研 和 引 
入 了 相关 的 工具 ， 建 立 了 完善 的 开源 软件 管理 和 治理 机 制 。 

2、 开 源 软 件 的 选 型 和 引入 

当 一 个 产品 项 目 需要 增加 某 种 功能 组 件 , 并 且 考 虑 通过 引入 开源 
软件 来 实现 的 时 候 ， 必 须 通 过 一 个 开源 软件 引入 流程 来 完成 引入 。 

首先 ,产品 项 目 需要 进行 预 研 ， 确 定 儿 个 可 以 满足 功能 与 性 能 要 
求 的 备 选 开源 软件 以 及 版 本 ， 然 后 确定 其 中 一 个 作为 选 型 结果 。 然 后 
在 公司 开源 软件 库 中 查找 ， 此 软件 的 此 版 本 是 否 已 经 在 库 中 存在 ， 如 
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果 已 经 存在 ， 则 不 必 再 走 新 引入 流程 。 如 果 此 软件 此 版 本 尚未 在 公司 
开源 软件 库 中 存在 ， 则 需要 向 开源 软件 库 提 交 一 个 入 库 申 请 ;附带 选 
型 预 研 结果 和 测试 报告 。 此 申请 由 公司 的 开源 专家 团队 进行 审批 处 理 。 
开源 专家 团队 从 若干 方面 因素 对 所 申请 的 开源 软件 版 本 进行 评估 打 
分 ， 达 到 一 定 分 数 水 平 后 才 批 准 入 库 使 用 。 这 些 评 估 因 素 包 括 : 开源 
软件 所 使 用 的 开源 许可 证 ， 漏 洞 情况 ， 业 界 采 纳 度 ， 版 本 发 布 周期 ， 
开发 者 社区 规模 ， 是 否 有 开源 基金 会 支持 等 等 。 

开源 软件 的 版 本 在 通过 审批 后 , 由 开源 软件 库 从 开源 软件 的 官网 
以 及 其 他 可 靠 托管 地 下 载 其 源码 和 /或 制品 ( 如 邹 理 包 , jar 包 等 等 )， 
经 过 安全 扫描 后 进行 存放 . 产品 在 后 续 构 建 版 本 时 ， 直 接 从 公司 开源 
库 中 取 用 所 需 开源 软件 版 本 的 代码 和 制 蝇 

3、 开 源 软件 的 同 源 沧 理 

开源 软件 在 进入 开源 软件 库 后 ,可 以 供 公司 内 所 有 产品 项 目 使 用 。 
这 保证 了 所 有 产品 项 目 使 用 的 开源 代码 和 制品 都 是 从 同一 个 可 靠 来 
源 下 载 的 。 避免 了 各 产品 项 目的 研发 人 员 自行 从 网 上 下 载 时 取 用 了 不 
可 靠 来 源 导 致 引入 病毒 和 后 门 等 安全 隐患 。 同 时 ， 对 开源 软件 严重 漏 
洞 的 自 研 修改 方案 可 以 快速 的 在 所 有 产品 上 生效 。 

4、 开 源 漏 洞 治 理 

中 兴 通 讯 引 入 了 第 三 方 安全 漏洞 扫描 工具 , 对 产品 进行 定期 扫描 
以 及 发 布 前 的 扫描 。 发 现 安 全 漏洞 后 在 规定 的 时 间 内 予以 评估 响应 。 
一 旦 评估 新 发 现 的 漏洞 对 产品 有 比较 重要 的 影响 , 就 通过 升级 软件 或 
自 研 补 丁 的 方式 进行 修正 治理 , 确保 发 布 出 去 的 产品 没有 影响 产品 安 
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全 和 用 户 安全 的 漏洞 。 

5、 开 源 软件 合 规 使 用 和 分 发 

根据 美国 出 口 管制 条 例 (EAR ) 的 规定 ， 开 源 软 件 原 则 上 不 受 管 
辖 . 但 是 含有 一 定 秘 钥 长 度 的 一 些 指定 加 密 算 法 的 美国 原 产 开源 软件 
需要 受 管辖 及 管控 。 但 是 可 以 根据 EAR 742.15(b)(2) 的 规定 ， 在 向 美 
国 商务 部 工业 与 安全 局 (BIS) 进 行 备 案 后 来 解除 管辖 。 因 此 , 为 了 合 规 
使 用 ， 一 个 开源 软件 的 版 本 引入 到 开源 软件 库 后 ， 需 要 判断 它 是 否 需 
要 向 BIS 备案 来 解除 美国 EAR 的 管辖 。 目 前 判断 一 个 开源 软件 是 否 
需要 备案 的 原则 为 ， 需 同时 满足 : 是 公开 可 获得 的 源码 形式 的 开源 软 
件 ; 此 开源 软件 为 美国 的 基金 会 、 美 国 的 开源 软件 社区 或 美国 的 公司 
发 起 ; 或 发 起 方 不 确定 ， 但 是 有 美国 人 参与 ， 或 美国 公司 参与 ， 或 外 
国人 在 美国 参与 的 ; 或 无 论 发 起 方 的 国籍 还 参与 人 的 国籍 存在 不 明确 
的 情况 的 ; 此 开源 软件 的 出 口 管制 分 类 编号 (ECCN ) 为 SD002; 或 
者 包含 了 加 密 算 法 ; 或 者 不 确定 是 否 有 加 密 算 法 。 

满足 上 述 条 件 的 开源 软件 , 开源 软件 库 会 触发 向 BIS 备案 的 流程 
来 解除 EAR 管辖 。 

含有 开源 软件 的 产品 版 本 分 发 时 会 附带 一 个 开源 软件 声明 书 , 其 
中 包含 了 此 产品 所 使 用 的 所 有 开源 软件 的 信息 ,以 符合 相关 开源 许可 
证 的 要 求 。 


《五 ) 红 帆 开源 治理 案例 
随 着 开源 软件 在 企业 中 采用 的 比重 越 来 越 大 , 企业 对 于 开源 软件 
的 引入 ， 使用， 改造 以 及 安全 的 管理 需求 越 来 越 突 出 。 因 此 ， 红 帆 软 
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件 把 自己 长 期 专注 开源 软件 生态 建设 形成 的 开源 软件 管理 理念 ， 以 及 
多 年 开源 运营 及 开源 项 目 实 施 所 积累 的 一 整套 实践 经 验 分 享 出 来 , 结 
合 国内 开源 发 展 的 实际 ， 提 出 了 开源 治理 的 最 佳 实践 框架 ， 

红 帆 的 开源 治理 最 佳 实 践 框架 ， 概 括 地 说 ， 就 是 围绕 一 个 总 体 目 
标 愿 景 ， 通 过 三 阶段 推进 实施 ， 在 四 个 领域 全 方位 展开 ， 人 简称 314 开 
源 沧 理 框架 。 

在 开源 治理 的 总 结 和 实践 过 程 中 ， 针 对 不 同 阶段 ， 不 同 领域 ， 红 
帽 都 有 相对 应 的 方法 ,流程 或 者 工具 来 帮助 企业 完成 相关 过 程 的 实施 。 

红 由 把 开源 治理 成 熟 度 分 成 0-4， 共 $ 个 级 别 ,， 来 定义 开源 治理 的 
成 熟 度 ， 分 别 是 1 ) 不 可 见 ; 2 ) 参 与 ; 3) 规范 ; 4) 成 熟 ; 5 ) 贡献 。 

有 了 整体 规划 ， 企 业 可 以 逐步 展开 具体 的 治理 体系 建设 ， 进 行 落 
地 实施 。 在 企业 进行 开源 治理 的 过 程 中 , 往往 把 重点 放 在 开源 技术 本 
身 ， 而 忽略 了 其 他 一 些 同 样 重要 的 因素 . 红 帆 认为 开源 体系 建设 是 一 
个 统一 的 过 程 ， 建 议 企业 可 以 从 开源 管理 体系 ， 开 源 组 织 体系 ， 开 源 
技术 体系 和 开源 文化 体系 〈 即 我 们 说 的 PPTC ) 四 个 领域 展开 实施 。 

对 于 开源 管理 体系 建设 ， 红 帽 提出 了 围绕 开源 技术 进行 全 生命 周 
期 管理 的 理念 ， 即 从 开源 技术 的 导入 ， 使 用 ， 更 新 ， 升 级 ， 退 出 各 个 
阶段 进行 管理 。 

在 开源 管理 体系 建设 过 程 中 ， 通 过 实际 项 目 开 展 ， 我 们 建立 了 开 
源 导入 的 维度 模型 ， 从 技术 针对 性 、 技 术 先 进 性 、 开 源 社 区 活跃 度 、 
生命 力 等 五 个 方面 进行 全 面 评估 , 来 查看 拟 采用 的 开源 软件 是 否 有 风 
险 ， 以 及 如 何 规避 风险 ， 更 科学 、 更 有 效 地 来 使 用 这 个 开源 软件 。 
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对 于 开源 组 织 体系 建设 ， 红 帽 提出 了 开源 管理 金字 塔 模型 。 

对 于 开源 技术 体系 建设 , 红 帆 建议 的 方法 是 建立 知识 库 和 开源 实 
验 室 ， 通 过 开源 实验 室 ， 把 内 部 ， 外 部 的 专家 积累 经 验 沉 演 到 知识 库 
里 。 随 着 开源 使 用 过 程 的 不 断 积累 ， 以 及 技术 的 不 断 地 和 迭代 和 演进 ， 
企业 对 开源 管理 的 成 熟 度 也 会 越 来 越 高 。 

开源 治理 是 一 个 逐步 迭代 的 过 程 , 管控 风险 是 很 多 企业 进行 开源 
治理 的 重要 出 发 点 ， 但 是 ， 引 领 创 新 才 是 开源 治理 的 最 重要 的 目标 。 
在 开源 治理 实践 过 程 中 ， 如 果 没 有 开源 文化 体系 建设 ,开源 治理 往往 
止步 于 “ 管 "， 难 以 发 挥 开 源 治 理 的 引领 作用 。 红 帽 坚 持 上 游 优 先 ， 拥 
抱 社区 的 ， 引 领 开 源 发 展 的 文化 理念 ， 在 建立 开源 社区 文化 ， 开 源 技 
术 生 态 文化 ,开源 回馈 及 影响 力 文化 上 有 很 多 积累 和 经 验 ， 并 开创 性 
提出 了 创新 实验 室 项 目 ， 可 以 快速 帮助 客户 融入 开源 技术 生态 ， 并 建 
立 起 自己 的 开源 品牌 和 影响 办 ,让 开源 在 企业 中 生根 发 菠 , 枝 繁 叶 并 。 
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